A legfontosabb elvitelek
- Kiberbiztonság A kutatók új rosszindulatú programot találtak, de nem tudják megfejteni a céljait.
- A végjáték megértése segít, de nem fontos a terjedésének megfékezésében, javasolja más szakértők is.
- Az embereknek azt tanácsoljuk, hogy ne csatlakoztassanak ismeretlen cserélhető meghajtókat a számítógépükhöz, mivel a rosszindulatú program fertőzött USB-lemezeken keresztül terjed.
Van egy új Windows rosszindulatú program, de senki sem biztos a szándékában.
A Red Canary kiberbiztonsági kutatói nemrég fedeztek fel egy új, féregszerű rosszindulatú programot, amelyet Raspberry Robinnak neveztek el, és amely fertőzött USB-meghajtókon keresztül terjed. Noha sikerült megfigyelniük és tanulmányozniuk a rosszindulatú program működését, még nem tudták rájönni a végső céljára.
"A [Raspberry Robin] egy érdekes történet, amelynek végső fenyegetettségi profilját még nem határozták meg" - mondta Tim Helming, a DomainTools biztonsági evangélistája a Lifewire-nek e-mailben. "Túl sok az ismeretlen ahhoz, hogy megnyomja a pánikgombot, de ez jó emlékeztető arra, hogy az erős észlelések felépítése és a józan ész biztonsági intézkedések meghozatala soha nem volt még fontosabb."
Lövöldözés a sötétben
A rosszindulatú program végső céljának megértése segít a kockázati szint értékelésében, magyarázta Helming.
Például, az időnként kompromittált eszközöket, mint például a QNAP hálózatra csatlakoztatott tárolóeszközöket a Raspberry Robin esetében, nagyszabású botnetekbe toborozzák, hogy az elosztott szolgáltatásmegtagadási (DDoS) kampányokat beépítsék. Vagy a feltört eszközöket kriptovaluta bányászására használhatják fel.
Mindkét esetben nem áll fenn a fertőzött eszközök adatvesztésének közvetlen veszélye. Ha azonban a Raspberry Robin segít összeállítani egy ransomware botnetet, akkor bármely fertőzött eszköz és a hozzá kapcsolódó helyi hálózat kockázati szintje rendkívül magas lehet, mondta Helming.
Félix Aimé, a Sekoia fenyegetésekkel foglalkozó hírszerzési és biztonsági kutatója Twitter-üzenetben elmondta a Lifewire-nek, hogy a rosszindulatú programok elemzésében ilyen „intelligenciahiányok” nem ismeretlenek az iparágban. Aggasztóan azonban hozzátette, hogy a Raspberry Robint több más kiberbiztonsági szolgáltató is észleli (a Sekoia Qnap féregként tartja számon), ami azt mondja neki, hogy a rosszindulatú program által épített botnet meglehetősen nagy, és talán „százezret” tartalmazhat. kompromittált házigazdák száma.”
A Raspberry Robin sagában Sai Huda, a CyberCatch kiberbiztonsági cég vezérigazgatója számára a kritikus dolog az USB-meghajtók használata, amelyek rejtetten telepítik a rosszindulatú programot, amely azután állandó kapcsolatot hoz létre az internettel egy másik rosszindulatú program letöltéséhez. kommunikál a támadó szervereivel.
„Az USB-k veszélyesek, és nem szabad megengedni őket” – hangsúlyozta Dr. Magda Chelly, a Responsible Cyber információbiztonsági igazgatója. „Módot biztosítanak a rosszindulatú programok számára, hogy könnyen átterjedjenek egyik számítógépről a másikra. Ezért olyan fontos, hogy naprakész biztonsági szoftver legyen telepítve a számítógépére, és soha ne csatlakoztasson olyan USB-t, amelyben nem bízik.”
A Lifewire-rel folytatott e-mail üzenetváltásban Simon Hartley, a CISSP és a Quantinuum kiberbiztonsági szakértője azt mondta, hogy az USB-meghajtók annak a kereskedelmi eszköznek a részét képezik, amelyet az ellenfelek arra használnak, hogy megtörjék az úgynevezett „légrés” biztonságát a nyilvánossághoz nem csatlakoztatott rendszereken. internet.
„Kényes környezetekben vagy egyenesen betiltották őket, vagy speciális ellenőrzéseket és ellenőrzéseket igényelnek, mivel lehetséges az adatok nyílt módon történő hozzáadása vagy eltávolítása, valamint rejtett rosszindulatú programok bevezetése” – osztotta meg Hartley.
Az indíték nem fontos
Melissa Bischoping, a Tanium végpontbiztonsági kutatási szakértője e-mailben elmondta a Lifewire-nek, hogy bár egy rosszindulatú program indítékának megértése segíthet, a kutatók többféle képességgel is rendelkeznek a rosszindulatú programok által hátrahagyott viselkedés és műtermékek elemzésére, hogy észlelési képességeket hozzanak létre.
„Bár az indítékok megértése értékes eszköz lehet a fenyegetettség modellezéséhez és a további kutatásokhoz, ennek az információnak a hiánya nem teszi érvénytelenné a meglévő műtermékek és észlelési képességek értékét” – magyarázta Bischoping.
Kumar Saurabh, a LogicHub vezérigazgatója és társalapítója egyetértett. E-mailben elmondta a Lifewire-nek, hogy a hackerek céljának vagy indítékainak megértése érdekes hírekkel szolgál, de biztonsági szempontból nem túl hasznos.
Saurabh hozzátette, hogy a Raspberry Robin kártevő a veszélyes támadások összes jellemzőjével rendelkezik, beleértve a távoli kódvégrehajtást, a perzisztenciát és a kijátszást, ami elegendő bizonyíték a riasztás megszól altatására, és agresszív intézkedések megtételére a terjedésének megfékezésére.
"Elengedhetetlen, hogy a kiberbiztonsági csapatok azonnal intézkedjenek, amint észreveszik a támadás korai előfutárait" - hangsúlyozta Saurabh. "Ha megvárja, hogy megértse a végső célt vagy indítékokat, mint például a zsarolóvírus, adatlopás vagy szolgáltatáskimaradás, valószínűleg már késő lesz."
