Key takeaways
- Cybersecurity Forskere har funnet en ny skadelig programvare, men kan ikke avdekke målene.
- Å forstå sluttspillet hjelper, men er ikke viktig for å begrense spredningen, foreslår andre eksperter.
- Folk anbefales ikke å koble ukjente flyttbare stasjoner til PC-ene sine, siden skadelig programvare spres via infiserte USB-disker.
Det er en ny Windows-skadevare som går rundt, men ingen er sikre på intensjonene.
Sybersikkerhetsforskere fra Red Canary oppdaget nylig en ny ormelignende skadelig programvare de har k alt Raspberry Robin, som spres via infiserte USB-stasjoner. Selv om de har vært i stand til å observere og studere hvordan den skadelige programvaren fungerer, har de ennå ikke klart å finne ut den endelige hensikten.
"[Raspberry Robin] er en interessant historie hvis ultimate trusselprofil ennå ikke er bestemt," sa Tim Helming, sikkerhetsevangelist med DomainTools, til Lifewire via e-post. «Det er for mange ukjente til å trykke på panikkknappen, men det er en god påminnelse om at det aldri har vært viktigere å bygge sterke deteksjoner og ta sunne sikkerhetstiltak.»
Shooting in The Dark
Å forstå en skadelig programvares endelige mål hjelper til med å vurdere risikonivået, forklarte Helming.
For eksempel, noen ganger kompromitterte enheter, slik som QNAP-nettverkstilkoblede lagringsenheter i tilfelle av Raspberry Robin, rekrutteres til store botnett for å sette i gang distribuerte tjenestenekt-kampanjer (DDoS). Eller de kompromitterte enhetene kan brukes til å utvinne kryptovaluta.
I begge tilfeller vil det ikke være en umiddelbar trussel om tap av data til de infiserte enhetene. Men hvis Raspberry Robin hjelper til med å sette sammen et ransomware-botnett, kan risikonivået for enhver infisert enhet, og lokalnettverket den er koblet til, være ekstremt høy, sa Helming.
Félix Aimé, trusseletterretnings- og sikkerhetsforsker ved Sekoia sa til Lifewire via Twitter DM-er at slike "intelligenshull" i malware-analyse ikke er uhørt i bransjen. Bekymrende, men la han til at Raspberry Robin blir oppdaget av flere andre cybersikkerhetsutsalg (Sekoia sporer det som Qnap-ormen), noe som forteller ham at botnettet som skadevare prøver å bygge er ganske stort, og kan kanskje inkludere "hundre tusen av kompromitterte verter.»
Det kritiske i Raspberry Robin-sagaen for Sai Huda, administrerende direktør i cybersikkerhetsselskapet CyberCatch, er bruken av USB-stasjoner, som skjult installerer skadelig programvare som deretter oppretter en vedvarende tilkobling til internett for å laste ned en annen skadelig programvare som deretter kommuniserer med angriperens servere.
"USB er farlig og bør ikke tillates," understreket Dr. Magda Chelly, Chief Information Security Officer, ved Responsible Cyber. "De gir en måte for skadelig programvare å enkelt spre seg fra en datamaskin til en annen. Dette er grunnen til at det er så viktig å ha oppdatert sikkerhetsprogramvare installert på datamaskinen din og aldri koble til en USB du ikke stoler på.»
I en e-postutveksling med Lifewire sa Simon Hartley, CISSP og en cybersikkerhetsekspert med Quantinuum at USB-stasjoner er en del av håndverket som motstandere bruker for å bryte såk alt "air gap"-sikkerhet til systemer som ikke er koblet til offentligheten internett.
"De er enten direkte forbudt i sensitive miljøer eller krever spesielle kontroller og verifikasjoner på grunn av potensialet for å legge til eller fjerne data på åpenbare måter, samt introdusere skjult skadelig programvare," delte Hartley.
Motive Isn't Important
Melissa Bischoping, Endpoint Security Research Specialist ved Tanium, fort alte Lifewire via e-post at selv om det kan hjelpe å forstå motivet til en skadelig programvare, har forskere flere muligheter for å analysere atferden og artefakter som skadelig programvare etterlater, for å skape deteksjonsmuligheter.
"Selv om forståelse av motiv kan være et verdifullt verktøy for trusselmodellering og videre forskning, ugyldiggjør ikke fraværet av denne intelligensen verdien av eksisterende artefakter og deteksjonsevner," forklarte Bischoping.
Kumar Saurabh, administrerende direktør og medgründer av LogicHub, var enig. Han fort alte Lifewire over e-post at det å prøve å forstå målet eller motivene til hackere gir interessante nyheter, men at det ikke er særlig nyttig fra et sikkerhetsperspektiv.
Saurabh la til Raspberry Robin-malwaren har alle egenskapene til et farlig angrep, inkludert ekstern kjøring av kode, utholdenhet og unndragelse, som er nok bevis til å slå alarm og iverksette aggressive handlinger for å begrense spredningen.
"Det er viktig for cybersikkerhetsteam å iverksette tiltak så snart de oppdager de tidlige forløperne til et angrep," understreket Saurabh. "Hvis du venter med å forstå det endelige målet eller motivene, som løsepengevare, datatyveri eller tjenesteavbrudd, vil det sannsynligvis være for sent."
