Klíčové poznatky
- Výzkumníci v oblasti kybernetické bezpečnosti našli nový malware, ale nemohou odhalit jeho cíle.
- Porozumění koncové hře pomáhá, ale není důležité pro omezení jejího šíření, navrhněte další odborníky.
- Lidem se doporučuje, aby do svých počítačů nepřipojovali neznámé vyměnitelné jednotky, protože malware se šíří prostřednictvím infikovaných USB disků.
Kolem je nový malware Windows, ale nikdo si není jistý jeho záměry.
Výzkumníci kybernetické bezpečnosti z Red Canary nedávno objevili nový malware podobný červu, který nazvali Raspberry Robin a který se šíří prostřednictvím infikovaných USB disků. I když byli schopni pozorovat a studovat fungování malwaru, zatím nebyli schopni zjistit jeho konečný účel.
"[Raspberry Robin] je zajímavý příběh, jehož konečný profil hrozeb ještě není určen," řekl Lifewire e-mailem Tim Helming, bezpečnostní evangelista z DomainTools. "Je tu příliš mnoho neznámých, než aby bylo možné stisknout tlačítko paniky, ale je to dobrá připomínka toho, že budování silných detekcí a přijímání bezpečnostních opatření zdravého rozumu nebylo nikdy důležitější."
Střelba ve tmě
Porozumění hlavnímu cíli malwaru pomáhá ohodnotit úroveň jeho rizika, vysvětlil Helming.
Například někdy kompromitovaná zařízení, jako jsou úložná zařízení připojená k síti QNAP v případě Raspberry Robin, jsou rekrutována do rozsáhlých botnetů, aby vedly kampaně distribuovaného odmítnutí služby (DDoS). Nebo by kompromitovaná zařízení mohla být použita k těžbě kryptoměny.
V obou případech by bezprostředně nehrozila ztráta dat na infikovaných zařízeních. Pokud však Raspberry Robin pomáhá sestavit ransomwarový botnet, pak úroveň rizika pro jakékoli infikované zařízení a místní síť, ke které je připojeno, může být extrémně vysoká, řekl Helming.
Félix Aimé, výzkumník v oblasti inteligence a bezpečnosti hrozeb ve společnosti Sekoia, řekl Lifewire prostřednictvím Twitter DM, že takové „inteligenční mezery“v analýze malwaru nejsou v tomto odvětví neslýchané. Znepokojivě však dodal, že Raspberry Robin je detekován několika dalšími servery pro kybernetickou bezpečnost (Sekoia jej sleduje jako červa Qnap), což mu říká, že botnet, který se malware snaží vybudovat, je poměrně velký a mohl by zahrnovat „sto tisíc kompromitovaných hostitelů.“
Kritickou věcí v sáze Raspberry Robin pro Sai Hudu, generálního ředitele společnosti CyberCatch zabývající se kybernetickou bezpečností, je použití USB disků, které skrytě instalují malware, který pak vytvoří trvalé připojení k internetu ke stažení dalšího malwaru, který pak komunikuje se servery útočníka.
„USB jsou nebezpečné a neměly by být povoleny,“zdůraznila Dr. Magda Chelly, ředitelka informační bezpečnosti, v Responsible Cyber. „Poskytují způsob, jak se malware snadno šířit z jednoho počítače do druhého. Proto je tak důležité mít na svém počítači nainstalovaný aktuální bezpečnostní software a nikdy nepřipojovat USB, kterému nedůvěřujete.“
V e-mailové výměně s Lifewire Simon Hartley, CISSP a odborník na kybernetickou bezpečnost z Quantinuum uvedli, že USB disky jsou součástí řemesla, které protivníci používají k prolomení takzvané „vzduchové mezery“v systémech, které nejsou připojeny k veřejnosti. internet.
„Jsou buď přímo zakázány v citlivých prostředích, nebo vyžadují speciální kontroly a ověřování kvůli potenciálu přidávat nebo odebírat data zjevnými způsoby a také zavádět skrytý malware,“sdílel Hartley.
Motiv není důležitý
Melissa Bischoping, specialistka na výzkum zabezpečení koncových bodů ve společnosti Tanium, sdělila Lifewire e-mailem, že ačkoliv může pomoci pochopení motivu malwaru, výzkumníci mají několik možností pro analýzu chování a artefaktů, které malware za sebou zanechává, aby vytvořili detekční schopnosti.
„Zatímco porozumění motivu může být cenným nástrojem pro modelování hrozeb a další výzkum, absence této inteligence neznehodnocuje hodnotu existujících artefaktů a detekční schopnosti,“vysvětlil Bischoping.
Kumar Saurabh, generální ředitel a spoluzakladatel společnosti LogicHub, souhlasil. Prostřednictvím e-mailu řekl Lifewire, že snaha porozumět cíli nebo motivům hackerů přináší zajímavé zprávy, ale z bezpečnostního hlediska to není příliš užitečné.
Saurabh dodal, že malware Raspberry Robin má všechny vlastnosti nebezpečného útoku, včetně vzdáleného spouštění kódu, perzistence a vyhýbání se, což je dostatek důkazů k tomu, aby spustil poplach a podnikl agresivní kroky k omezení jeho šíření.
„Pro týmy kybernetické bezpečnosti je naprosto nezbytné, aby zasáhly, jakmile zaznamenají rané předchůdce útoku,“zdůraznil Saurabh. „Pokud čekáte na pochopení konečného cíle nebo motivů, jako je ransomware, krádež dat nebo přerušení služby, pravděpodobně už bude pozdě."
