Ključni izsledki
- Raziskovalci kibernetske varnosti so našli novo zlonamerno programsko opremo, vendar ne morejo razvozlati njenih ciljev.
- Razumevanje končne igre pomaga, vendar ni pomembno za zajezitev njenega širjenja, predlagajo drugi strokovnjaki.
- Ljudem svetujemo, naj ne priklapljajo neznanih izmenljivih pogonov v svoje osebne računalnike, saj se zlonamerna programska oprema širi preko okuženih USB diskov.
V sistemu Windows kroži nova zlonamerna programska oprema, vendar nihče ni prepričan o njenih namenih.
Raziskovalci kibernetske varnosti iz Red Canary so nedavno odkrili novo črvu podobno zlonamerno programsko opremo, ki so jo poimenovali Raspberry Robin, ki se širi prek okuženih pogonov USB. Čeprav so lahko opazovali in preučevali delovanje zlonamerne programske opreme, jim še ni uspelo ugotoviti njenega končnega namena.
"[Raspberry Robin] je zanimiva zgodba, katere končni profil grožnje še ni določen," je za Lifewire po elektronski pošti povedal Tim Helming, varnostni evangelist pri DomainTools. "Preveč neznank je, da bi pritisnili na gumb za paniko, vendar je dober opomnik, da ustvarjanje močnih zaznav in sprejemanje zdravorazumskih varnostnih ukrepov še nikoli ni bilo tako pomembno."
Streljanje v temi
Razumevanje končnega cilja zlonamerne programske opreme pomaga oceniti stopnjo tveganja, je pojasnil Helming.
Na primer, včasih ogrožene naprave, kot so omrežne pomnilniške naprave QNAP v primeru Raspberry Robin, se rekrutirajo v obsežne botnete za montažo porazdeljenih kampanj zavrnitve storitve (DDoS). Ali pa bi lahko ogrožene naprave uporabili za rudarjenje kriptovalute.
V obeh primerih ne bi obstajala neposredna grožnja izgube podatkov za okužene naprave. Če pa Raspberry Robin pomaga pri sestavljanju botneta z izsiljevalsko programsko opremo, je lahko stopnja tveganja za katero koli okuženo napravo in lokalno omrežje, na katerega je priključena, izjemno visoka, je dejal Helming.
Félix Aimé, raziskovalec obveščevalnih podatkov o grožnjah in varnosti pri Sekoii, je za Lifewire prek DM-jev na Twitterju povedal, da takšne "obveščevalne vrzeli" pri analizi zlonamerne programske opreme v industriji niso neobičajne. Zaskrbljujoče pa je dodal, da je Raspberry Robin zaznalo več drugih prodajnih mest za kibernetsko varnost (Sekoia ga spremlja kot črva Qnap), kar mu pove, da je botnet, ki ga poskuša zgraditi zlonamerna programska oprema, precej velik in bi morda lahko vključeval »sto tisoč ogroženih gostiteljev.”
Kritična stvar v sagi o Raspberry Robin za Saija Huda, izvršnega direktorja podjetja za kibernetsko varnost CyberCatch, je uporaba pogonov USB, ki prikrito namestijo zlonamerno programsko opremo, ki nato ustvari trajno povezavo z internetom za prenos druge zlonamerne programske opreme, ki nato komunicira z napadalčevimi strežniki.
»Pogoni USB so nevarni in jih ne bi smeli dovoliti,« je poudarila dr. Magda Chelly, vodja informacijske varnosti pri Responsible Cyber. »Zlonamerni programski opremi omogočajo enostavno širjenje z enega računalnika na drugega. Zato je tako pomembno, da imate v računalniku nameščeno posodobljeno varnostno programsko opremo in da nikoli ne priključite USB-ja, ki mu ne zaupate.”
V izmenjavi e-pošte z Lifewire sta Simon Hartley, CISSP in strokovnjak za kibernetsko varnost pri Quantinuumu dejala, da so pogoni USB del obrti, ki jo nasprotniki uporabljajo za prekinitev tako imenovane varnosti »zračne vrzeli« v sistemih, ki niso povezani z javnostjo. internet.
»V občutljivih okoljih so bodisi dokončno prepovedani ali pa zahtevajo posebne kontrole in preverjanja zaradi možnosti dodajanja ali odstranjevanja podatkov na očitne načine kot tudi vnosa skrite zlonamerne programske opreme,« je delil Hartley.
Motiv ni pomemben
Melissa Bischoping, strokovnjakinja za raziskave o varnosti končnih točk pri Taniumu, je za Lifewire po e-pošti povedala, da čeprav lahko razumevanje motiva zlonamerne programske opreme pomaga, imajo raziskovalci več možnosti za analizo vedenja in artefaktov, ki jih zlonamerna programska oprema pusti za seboj, da ustvarijo zmožnosti odkrivanja.
»Čeprav je razumevanje motiva lahko dragoceno orodje za modeliranje groženj in nadaljnje raziskave, odsotnost te inteligence ne razveljavi vrednosti obstoječih artefaktov in zmožnosti odkrivanja,« je pojasnil Bischoping.
Kumar Saurabh, izvršni direktor in soustanovitelj LogicHuba, se strinja. Po e-pošti je za Lifewire povedal, da poskus razumevanja cilja ali motivov hekerjev prinaša zanimive novice, vendar z varnostnega vidika ni zelo koristen.
Saurabh je dodal, da ima zlonamerna programska oprema Raspberry Robin vse značilnosti nevarnega napada, vključno z oddaljenim izvajanjem kode, vztrajnostjo in izogibanjem, kar je zadosten dokaz za sprožitev alarma in agresivne ukrepe za zajezitev njenega širjenja.
"Za ekipe za kibernetsko varnost je nujno, da ukrepajo takoj, ko opazijo zgodnje predhodnike napada," je poudaril Saurabh. "Če čakate, da razumete končni cilj ali motive, kot so izsiljevalska programska oprema, kraja podatkov ali motnje storitve, bo verjetno prepozno."
