Key takeaways
- Cybersikkerhed Forskere har fundet en ny malware, men kan ikke opklare dens mål.
- Forståelse af slutspillet hjælper, men er ikke vigtigt for at bremse spredningen, foreslår andre eksperter.
- Folk rådes til ikke at tilslutte ukendte flytbare drev til deres pc'er, da malwaren spredes via inficerede USB-diske.
Der er en ny Windows-malware på vej, men ingen er sikre på dens intentioner.
Cybersikkerhedsforskere fra Red Canary opdagede for nylig en ny ormelignende malware, som de har døbt Raspberry Robin, og som spredes via inficerede USB-drev. Selvom de har været i stand til at observere og studere malwarens funktion, har de endnu ikke været i stand til at finde ud af dens ultimative formål.
"[Raspberry Robin] er en interessant historie, hvis ultimative trusselprofil endnu ikke er fastlagt," fort alte Tim Helming, sikkerhedsevangelist hos DomainTools, til Lifewire via e-mail. "Der er for mange ubekendte til at trykke på panikknappen, men det er en god påmindelse om, at det aldrig har været vigtigere at opbygge stærke registreringer og tage sunde fornuftssikkerhedsforanst altninger."
Shooting in The Dark
Forståelse af en malwares ultimative mål hjælper med at vurdere dets risikoniveau, forklarede Helming.
For eksempel rekrutteres nogle gange kompromitterede enheder, såsom QNAP-netværkstilsluttede lagringsenheder i tilfældet med Raspberry Robin, til store botnets for at igangsætte distribuerede denial of service-kampagner (DDoS). Eller de kompromitterede enheder kan bruges til at udvinde kryptovaluta.
I begge tilfælde ville der ikke være en umiddelbar trussel om tab af data til de inficerede enheder. Men hvis Raspberry Robin hjælper med at samle et ransomware-botnet, kan risikoniveauet for enhver inficeret enhed og det lokale netværk, den er knyttet til, være ekstremt højt, sagde Helming.
Félix Aimé, trusselsefterretnings- og sikkerhedsforsker hos Sekoia fort alte Lifewire via Twitter DM'er, at sådanne "intelligenshuller" i malwareanalyse ikke er uhørt i branchen. Men bekymrende tilføjede han, at Raspberry Robin bliver opdaget af adskillige andre cybersikkerhedsforretninger (Sekoia sporer det som Qnap-ormen), hvilket fortæller ham, at det botnet, som malwaren forsøger at bygge, er ret stort og måske kan omfatte "hundrede tusinde af kompromitterede værter."
Det kritiske i Raspberry Robin-sagaen for Sai Huda, administrerende direktør for cybersikkerhedsfirmaet CyberCatch, er brugen af USB-drev, som hemmeligt installerer malwaren, der derefter skaber en vedvarende forbindelse til internettet for at downloade en anden malware, der derefter kommunikerer med angriberens servere.
"USB'er er farlige og bør ikke tillades," understregede Dr. Magda Chelly, Chief Information Security Officer hos Responsible Cyber. "De giver en måde, hvorpå malware nemt kan spredes fra en computer til en anden. Det er derfor, det er så vigtigt at have opdateret sikkerhedssoftware installeret på din computer og aldrig tilslutte en USB, som du ikke har tillid til."
I en e-mail-udveksling med Lifewire sagde Simon Hartley, CISSP og en cybersikkerhedsekspert fra Quantinuum, at USB-drev er en del af det håndværk, som modstandere bruger til at bryde den såkaldte "air gap"-sikkerhed til systemer, der ikke er tilsluttet offentligheden internet.
“De er enten direkte forbudt i følsomme miljøer eller kræver særlige kontroller og verifikationer på grund af potentialet for at tilføje eller fjerne data på åbenlyse måder samt at introducere skjult malware,” delte Hartley.
Motivet er ikke vigtigt
Melissa Bischoping, Endpoint Security Research Specialist hos Tanium, fort alte Lifewire via e-mail, at selvom forståelse af en malwares motiv kan hjælpe, har forskere flere muligheder for at analysere den adfærd og artefakter, som malware efterlader, for at skabe detektionsmuligheder.
"Selv om forståelse af motiv kan være et værdifuldt værktøj til trusselsmodellering og yderligere forskning, ugyldiggør fraværet af denne intelligens ikke værdien af eksisterende artefakter og detektionsmuligheder," forklarede Bischoping.
Kumar Saurabh, CEO og medstifter af LogicHub, var enig. Han fort alte Lifewire via e-mail, at forsøg på at forstå hackernes mål eller motiver giver interessante nyheder, men ikke er særlig nyttigt ud fra et sikkerhedsperspektiv.
Saurabh tilføjede, at Raspberry Robin-malwaren har alle karakteristika for et farligt angreb, herunder fjernudførelse af kode, vedholdenhed og unddragelse, hvilket er bevis nok til at slå alarm og tage aggressive handlinger for at bremse spredningen.
"Det er bydende nødvendigt for cybersikkerhedsteams at gribe ind, så snart de opdager de tidlige forløbere for et angreb," understregede Saurabh. "Hvis du venter på at forstå det eller de endelige motiver, såsom løsepenge, datatyveri eller serviceafbrydelse, vil det sandsynligvis være for sent."