Key takeaways
- Cybersäkerhet Forskare har hittat en ny skadlig programvara, men kan inte reda ut dess mål.
- Att förstå slutspelet hjälper men är inte viktigt för att begränsa spridningen, föreslår andra experter.
- Människor rekommenderas att inte koppla in okända flyttbara enheter i sina datorer, eftersom skadlig programvara sprids via infekterade USB-diskar.
Det finns en ny Windows-skadlig programvara på gång, men ingen är säker på dess avsikter.
Cybersäkerhetsforskare från Red Canary upptäckte nyligen en ny maskliknande skadlig programvara som de har kallat Raspberry Robin, som sprids via infekterade USB-enheter. Även om de har kunnat observera och studera hur skadlig programvara fungerar, har de ännu inte kunnat ta reda på dess slutgiltiga syfte.
"[Raspberry Robin] är en intressant historia vars ultimata hotprofil ännu inte har fastställts", sa Tim Helming, säkerhetsevangelist med DomainTools, till Lifewire via e-post. "Det finns för många okända för att trycka på panikknappen, men det är en bra påminnelse om att det aldrig har varit viktigare att bygga starka upptäckter och vidta sunt förnuftssäkerhetsåtgärder."
Shooting in the Dark
Att förstå en skadlig programvaras slutmål hjälper till att bedöma risknivån, förklarade Helming.
Till exempel, ibland komprometterade enheter, som QNAP nätverksanslutna lagringsenheter i fallet med Raspberry Robin, rekryteras till storskaliga botnät för att montera DDoS-kampanjer (distributed denial of service). Eller så kan de komprometterade enheterna användas för att bryta kryptovaluta.
I båda fallen skulle det inte finnas ett omedelbart hot om dataförlust för de infekterade enheterna. Men om Raspberry Robin hjälper till att sätta ihop ett ransomware-botnät, kan risknivån för alla infekterade enheter, och det lokala nätverket den är ansluten till, vara extremt hög, sa Helming.
Félix Aimé, hot Intelligence och säkerhetsforskare på Sekoia sa till Lifewire via Twitter DM:s att sådana "underrättelseluckor" i analys av skadlig programvara inte är ovanliga i branschen. Oroväckande, men han tillade att Raspberry Robin upptäcks av flera andra cybersäkerhetsbutiker (Sekoia spårar det som Qnap-masken), vilket talar om för honom att botnätet som skadlig programvara försöker bygga är ganska stort och kan kanske inkludera "hundratusen av komprometterade värdar.”
Det kritiska i Raspberry Robin-sagan för Sai Huda, VD för cybersäkerhetsföretaget CyberCatch, är användningen av USB-enheter, som i hemlighet installerar skadlig programvara som sedan skapar en ihållande anslutning till internet för att ladda ner en annan skadlig kod som sedan kommunicerar med angriparens servrar.
"USB är farligt och bör inte tillåtas", betonade Dr. Magda Chelly, Chief Information Security Officer, på Responsible Cyber. "De ger ett sätt för skadlig programvara att enkelt spridas från en dator till en annan. Det är därför det är så viktigt att ha uppdaterad säkerhetsprogramvara installerad på din dator och att aldrig koppla in en USB som du inte litar på.”
I ett e-postutbyte med Lifewire sa Simon Hartley, CISSP och en cybersäkerhetsexpert med Quantinuum att USB-enheter är en del av det hantverk som motståndare använder för att bryta så kallad "air gap"-säkerhet till system som inte är anslutna till allmänheten internet.
"De är antingen direkt förbjudna i känsliga miljöer eller kräver speciella kontroller och verifieringar på grund av möjligheten att lägga till eller ta bort data på ett öppet sätt samt introducera dold skadlig programvara", delade Hartley.
Motivet är inte viktigt
Melissa Bischoping, Endpoint Security Research Specialist på Tanium, sa till Lifewire via e-post att även om det kan hjälpa att förstå en skadlig programvaras motiv, har forskare flera möjligheter att analysera beteendet och artefakter som skadlig programvara lämnar efter sig, för att skapa upptäcktsmöjligheter.
"Medan att förstå motiv kan vara ett värdefullt verktyg för hotmodellering och vidare forskning, ogiltigförklarar inte frånvaron av den intelligensen värdet av befintliga artefakter och detektionsmöjligheter", förklarade Bischoping.
Kumar Saurabh, VD och medgrundare av LogicHub, höll med. Han sa till Lifewire via e-post att försök att förstå hackers mål eller motiv ger intressanta nyheter, men det är inte särskilt användbart ur ett säkerhetsperspektiv.
Saurabh tillade att Raspberry Robin skadlig kod har alla egenskaper hos en farlig attack, inklusive fjärrkodexekvering, persistens och undandragande, vilket är tillräckligt med bevis för att slå larm och vidta aggressiva åtgärder för att bromsa dess spridning.
"Det är absolut nödvändigt för cybersäkerhetsteam att vidta åtgärder så snart de upptäcker de tidiga föregångarna till en attack", betonade Saurabh. "Om du väntar på att förstå det slutliga målet eller motiven, som lösenprogram, datastöld eller serviceavbrott, det kommer förmodligen att vara för sent."
