Ключевые выводы
- Кибербезопасность Исследователи обнаружили новое вредоносное ПО, но не могут понять его цели.
- Понимание эндшпиля помогает, но не важно для сдерживания его распространения, считают другие эксперты.
- Людям рекомендуется не подключать неизвестные съемные диски к своим ПК, так как вредоносное ПО распространяется через зараженные USB-диски.
Появилось новое вредоносное ПО для Windows, но никто не уверен в его намерениях.
Исследователи кибербезопасности из Red Canary недавно обнаружили новое вредоносное ПО, похожее на червя, которое они назвали Raspberry Robin, которое распространяется через зараженные USB-накопители. Несмотря на то, что они смогли наблюдать и изучить работу вредоносного ПО, им еще не удалось выяснить его конечную цель.
«[Raspberry Robin] - это интересная история, окончательный профиль угрозы которой еще предстоит определить», - сказал Lifewire по электронной почте Тим Хелминг, евангелист по безопасности из DomainTools. «Слишком много неизвестных, чтобы нажимать кнопку паники, но это хорошее напоминание о том, что построение надежных систем обнаружения и принятие мер безопасности, основанных на здравом смысле, никогда не были так важны».
Съемка в темноте
Понимание конечной цели вредоносного ПО помогает оценить уровень его риска, объяснил Хелминг.
Например, иногда скомпрометированные устройства, такие как сетевые устройства хранения данных QNAP в случае Raspberry Robin, включаются в крупномасштабные ботнеты для организации кампаний распределенного отказа в обслуживании (DDoS). Или скомпрометированные устройства могут быть использованы для добычи криптовалюты.
В обоих случаях не будет непосредственной угрозы потери данных на зараженных устройствах. Однако, если Raspberry Robin помогает собрать ботнет-вымогатель, то уровень риска для любого зараженного устройства и локальной сети, к которой оно подключено, может быть чрезвычайно высоким, сказал Хелминг..
Феликс Эме, исследователь угроз и безопасности в Sekoia, сказал Lifewire через Twitter DM, что такие «пробелы в разведке» в анализе вредоносных программ не являются чем-то необычным в отрасли. Однако с беспокойством он добавил, что Raspberry Robin обнаруживается несколькими другими службами кибербезопасности (Sekoia отслеживает его как червя Qnap), что говорит ему о том, что бот-сеть, которую пытается создать вредоносное ПО, довольно велика и, возможно, может включать в себя «сотни тысяч скомпрометированных хостов».
Критическим моментом в саге о Raspberry Robin для Сай Худы, генерального директора компании по кибербезопасности CyberCatch, является использование USB-накопителей, которые скрытно устанавливают вредоносное ПО, которое затем создает постоянное подключение к Интернету для загрузки другого вредоносного ПО, которое затем связывается с серверами злоумышленника.
«USB-устройства опасны, и их использование запрещено», - подчеркнула д-р Магда Челли, директор по информационной безопасности компании Responsible Cyber. «Они позволяют вредоносным программам легко распространяться с одного компьютера на другой. Вот почему так важно установить на свой компьютер новейшее программное обеспечение для обеспечения безопасности и никогда не подключать USB-накопитель, которому вы не доверяете».
В переписке с Lifewire Саймон Хартли, CISSP и эксперт по кибербезопасности из Quantinuum, сказал, что USB-накопители являются частью хитрости, которую злоумышленники используют для нарушения так называемого «воздушного зазора» безопасности систем, не подключенных к общедоступным. интернет.
«Они либо полностью запрещены в чувствительных средах, либо требуют особого контроля и проверки из-за возможности добавления или удаления данных явным образом, а также внедрения скрытого вредоносного ПО», - поделился Хартли..
Мотив не важен
Мелисса Бишопинг, специалист по исследованиям в области безопасности конечных точек в Tanium, сообщила Lifewire по электронной почте, что хотя понимание мотивов вредоносного ПО может помочь, у исследователей есть несколько возможностей для анализа поведения и артефактов, которые оставляет вредоносное ПО, для создания возможностей обнаружения.
«Хотя понимание мотива может быть ценным инструментом для моделирования угроз и дальнейших исследований, отсутствие этого интеллекта не сводит на нет ценность существующих артефактов и возможностей обнаружения», - пояснил Бишопинг.
Кумар Саураб, генеральный директор и соучредитель LogicHub, согласился. Он сказал Lifewire по электронной почте, что попытка понять цель или мотивы хакеров приносит интересные новости, но не очень полезна с точки зрения безопасности.
Саурабх добавил, что вредоносное ПО Raspberry Robin обладает всеми характеристиками опасной атаки, включая удаленное выполнение кода, постоянство и уклонение, что является достаточным доказательством, чтобы бить тревогу и предпринимать агрессивные действия для сдерживания его распространения.
«Командам по кибербезопасности крайне важно принять меры, как только они обнаружат ранние предвестники атаки, - подчеркнул Саурабх. - Если вы ждете, чтобы понять конечную цель или мотивы, такие как перерыв в обслуживании, вероятно, будет слишком поздно."
