Βασικά Takeaways
- Κυβερνοασφάλεια Ερευνητές ανακάλυψαν ένα νέο κακόβουλο λογισμικό, αλλά δεν μπορούν να ξεδιαλύνουν τους στόχους του.
- Η κατανόηση του τελικού παιχνιδιού βοηθά, αλλά δεν είναι σημαντική για τον περιορισμό της εξάπλωσής του, προτείνουν άλλοι ειδικοί.
- Συνιστάται στους ανθρώπους να μην συνδέουν άγνωστες αφαιρούμενες μονάδες στον υπολογιστή τους, καθώς το κακόβουλο λογισμικό εξαπλώνεται μέσω μολυσμένων δίσκων USB.
Υπάρχει ένα νέο κακόβουλο λογισμικό των Windows που κάνει τον γύρο, αλλά κανείς δεν είναι σίγουρος για τις προθέσεις του.
Ερευνητές κυβερνοασφάλειας από το Red Canary ανακάλυψαν πρόσφατα ένα νέο κακόβουλο λογισμικό που μοιάζει με σκουλήκι που έχουν ονομάσει Raspberry Robin, το οποίο εξαπλώνεται μέσω μολυσμένων μονάδων USB. Ενώ μπόρεσαν να παρατηρήσουν και να μελετήσουν τη λειτουργία του κακόβουλου λογισμικού, δεν κατάφεραν ακόμη να καταλάβουν τον απώτερο σκοπό του.
"Το [Raspberry Robin] είναι μια ενδιαφέρουσα ιστορία της οποίας το απόλυτο προφίλ απειλής δεν έχει ακόμη καθοριστεί", είπε ο Tim Helming, ευαγγελιστής ασφαλείας με το DomainTools, στο Lifewire μέσω email. "Υπάρχουν πάρα πολλά άγνωστα στοιχεία για να πατήσετε το κουμπί πανικού, αλλά είναι μια καλή υπενθύμιση ότι η δημιουργία ισχυρών ανιχνεύσεων και η λήψη μέτρων ασφαλείας κοινής λογικής δεν ήταν ποτέ πιο σημαντική."
Σκοποβολή στο σκοτάδι
Η κατανόηση του απώτερου στόχου ενός κακόβουλου λογισμικού βοηθά στην αξιολόγηση του επιπέδου κινδύνου του, εξήγησε ο Helming.
Για παράδειγμα, μερικές φορές παραβιασμένες συσκευές, όπως οι συσκευές αποθήκευσης που είναι συνδεδεμένες στο δίκτυο QNAP στην περίπτωση του Raspberry Robin, στρατολογούνται σε botnet μεγάλης κλίμακας για τη δημιουργία καμπανιών κατανεμημένης άρνησης υπηρεσίας (DDoS). Ή, οι παραβιασμένες συσκευές θα μπορούσαν να χρησιμοποιηθούν για εξόρυξη κρυπτονομισμάτων.
Και στις δύο περιπτώσεις, δεν θα υπήρχε άμεση απειλή απώλειας δεδομένων για τις μολυσμένες συσκευές. Ωστόσο, εάν το Raspberry Robin βοηθά στη συναρμολόγηση ενός botnet ransomware, τότε το επίπεδο κινδύνου για οποιαδήποτε μολυσμένη συσκευή και το τοπικό δίκτυο στο οποίο είναι συνδεδεμένο, μπορεί να είναι εξαιρετικά υψηλό, είπε ο Helming.
Félix Aimé, ερευνητής πληροφοριών απειλών και ασφάλειας στη Sekoia είπε στο Lifewire μέσω DM του Twitter ότι τέτοια «κενά νοημοσύνης» στην ανάλυση κακόβουλου λογισμικού δεν είναι πρωτόγνωρα στον κλάδο. Ανησυχητικά, ωστόσο, πρόσθεσε ότι το Raspberry Robin ανιχνεύεται από πολλά άλλα καταστήματα ασφάλειας στον κυβερνοχώρο (η Sekoia το παρακολουθεί ως το σκουλήκι Qnap), το οποίο του λέει ότι το botnet που προσπαθεί να δημιουργήσει το κακόβουλο λογισμικό είναι αρκετά μεγάλο και θα μπορούσε ίσως να περιλαμβάνει «εκατό χιλιάδες των παραβιασμένων κεντρικών υπολογιστών."
Το κρίσιμο πράγμα στο έπος του Raspberry Robin για τον Sai Huda, Διευθύνοντα Σύμβουλο της εταιρείας κυβερνοασφάλειας CyberCatch, είναι η χρήση μονάδων USB, η οποία εγκαθιστά κρυφά το κακόβουλο λογισμικό που στη συνέχεια δημιουργεί μια επίμονη σύνδεση στο διαδίκτυο για τη λήψη ενός άλλου κακόβουλου λογισμικού που στη συνέχεια επικοινωνεί με τους διακομιστές του εισβολέα.
"Τα USB είναι επικίνδυνα και δεν πρέπει να επιτρέπονται", τόνισε η Δρ. Μάγδα Τσέλι, Διευθύντρια Ασφάλειας Πληροφοριών, στο Responsible Cyber. «Παρέχουν έναν τρόπο για το κακόβουλο λογισμικό να εξαπλώνεται εύκολα από τον έναν υπολογιστή στον άλλο. Γι' αυτό είναι τόσο σημαντικό να έχετε εγκατεστημένο στον υπολογιστή σας ενημερωμένο λογισμικό ασφαλείας και να μην συνδέετε ποτέ USB που δεν εμπιστεύεστε."
Σε ανταλλαγή email με το Lifewire, ο Simon Hartley, η CISSP και ένας ειδικός σε θέματα κυβερνοασφάλειας με την Quantinuum, ανέφεραν ότι οι μονάδες USB αποτελούν μέρος του εμπορικού εξοπλισμού που χρησιμοποιούν οι αντίπαλοι για να σπάσουν τη λεγόμενη ασφάλεια του «κενού αέρα» σε συστήματα που δεν είναι συνδεδεμένα στο κοινό. internet.
"Είτε απαγορεύονται οριστικά σε ευαίσθητα περιβάλλοντα είτε απαιτούν ειδικούς ελέγχους και επαληθεύσεις λόγω της πιθανότητας προσθήκης ή αφαίρεσης δεδομένων με φανερούς τρόπους καθώς και εισαγωγής κρυφού κακόβουλου λογισμικού", μοιράστηκε η Hartley.
Το κίνητρο δεν είναι σημαντικό
Melissa Bischoping, Endpoint Security Research Specialist στο Tanium, είπε στο Lifewire μέσω email ότι, ενώ η κατανόηση του κινήτρου ενός κακόβουλου λογισμικού μπορεί να βοηθήσει, οι ερευνητές έχουν πολλαπλές δυνατότητες ανάλυσης της συμπεριφοράς και των τεχνουργημάτων που αφήνει πίσω του το κακόβουλο λογισμικό, για να δημιουργήσουν δυνατότητες ανίχνευσης..
"Ενώ η κατανόηση του κινήτρου μπορεί να είναι ένα πολύτιμο εργαλείο για μοντελοποίηση απειλών και περαιτέρω έρευνα, η απουσία αυτής της νοημοσύνης δεν ακυρώνει την αξία των υπαρχόντων τεχνουργημάτων και των δυνατοτήτων ανίχνευσης", εξήγησε ο Bischoping.
Ο Kumar Saurabh, Διευθύνων Σύμβουλος και συνιδρυτής του LogicHub, συμφώνησε. Είπε στο Lifewire μέσω email ότι η προσπάθεια κατανόησης του στόχου ή των κινήτρων των χάκερ οδηγεί σε ενδιαφέρουσες ειδήσεις, αλλά δεν είναι πολύ χρήσιμο από την άποψη της ασφάλειας.
Ο Saurabh πρόσθεσε ότι το κακόβουλο λογισμικό Raspberry Robin έχει όλα τα χαρακτηριστικά μιας επικίνδυνης επίθεσης, συμπεριλαμβανομένης της απομακρυσμένης εκτέλεσης κώδικα, της επιμονής και της αποφυγής, τα οποία είναι αρκετά στοιχεία για να ηχήσει ο συναγερμός και να ληφθούν επιθετικές ενέργειες για τον περιορισμό της εξάπλωσής του.
"Είναι επιτακτική ανάγκη για τις ομάδες κυβερνοασφάλειας να αναλάβουν δράση μόλις εντοπίσουν τους πρώιμους προδρόμους μιας επίθεσης", τόνισε ο Saurabh. "Εάν περιμένετε να κατανοήσετε τον τελικό στόχο ή τα κίνητρα, όπως ransomware, κλοπή δεδομένων ή διακοπή της υπηρεσίας, μάλλον θα είναι πολύ αργά."
