Мистериозният нов злонамерен софтуер за Windows продължава да раздразни изследователите

May 10, 2022
ВНовини Интернет сигурност

Изследователите на киберсигурността са открили нов зловреден софтуер, но не могат да разгадаят целите му.
Разбирането на края на играта помага, но не е важно за ограничаване на разпространението му, предполагат други експерти.
Хората се съветват да не включват неизвестни сменяеми устройства в компютрите си, тъй като зловредният софтуер се разпространява чрез заразени USB дискове.

USB устройство, което се включва в лаптоп — Карл Тапалес / Getty Images

Има нов злонамерен софтуер за Windows, който обикаля, но никой не е сигурен в неговите намерения.

Изследователи по киберсигурност от Red Canary наскоро откриха нов злонамерен софтуер, подобен на червей, който те нарекоха Малинов Робин, който се разпространява чрез заразени USB устройства. Въпреки че са успели да наблюдават и изучават работата на зловредния софтуер, те все още не са успели да разберат крайната му цел.

„[Raspberry Robin] е интересна история, чийто краен профил на заплаха тепърва ще бъде определен“, Тим Хелминг, евангелист по сигурността с DomainTools, каза пред Lifewire по имейл. „Има твърде много неизвестни, за да се натисне паник бутона, но това е добро напомняне, че изграждането на силни откривания и предприемането на мерки за сигурност със здравия разум никога не са били по-важни.

Снимане в мрака

Разбирането на крайната цел на злонамерения софтуер помага да се оцени нивото на риска, обясни Хелминг.

Например, понякога компрометирани устройства, като свързаните с мрежата QNAP устройства за съхранение в случай на Raspberry Robin, са наети в мащабни ботнети, за да монтират разпределен отказ на услуга (DDoS) кампании. Или компрометираните устройства могат да се използват за копаене на криптовалута.

И в двата случая няма да има непосредствена заплаха от загуба на данни за заразените устройства. Въпреки това, ако Raspberry Robin помага за сглобяването на ботнет за рансъмуер, тогава нивото на риск за всяко заразено устройство и локалната мрежа, към която е свързан, може да бъде изключително високо, каза Хелминг.

Феликс Еме, изследовател в областта на разузнаването и сигурността на заплахите в Sekoia каза пред Lifewire чрез DM в Twitter, че подобни „пропуски в разузнаването“ в анализа на зловреден софтуер не са нечувани в индустрията. Тревожно обаче той добави, че Raspberry Robin се засича от няколко други центъра за киберсигурност (Sekoia го проследява като Qnap червей), което му казва, че ботнетът, който зловредният софтуер се опитва да изгради, е доста голям и може би може да включва „стотици хиляди компрометирани хостове“.

Критичното нещо в сагата Raspberry Robin за Сай Худа, главен изпълнителен директор на компания за киберсигурност CyberCatch, е използването на USB устройства, което тайно инсталира злонамерения софтуер, който след това създава постоянен връзка с интернет, за да изтеглите друг зловреден софтуер, който след това комуникира с нападателя сървъри.

„USB са опасни и не трябва да се допускат“, подчертава д-р Магда Чели, главен директор по информационна сигурност, в Отговорен кибер. „Те осигуряват начин на зловреден софтуер лесно да се разпространява от един компютър на друг. Ето защо е толкова важно да имате актуален софтуер за сигурност, инсталиран на компютъра си и никога да не включвате USB, на който нямате доверие.”

При обмен на имейл с Lifewire, Саймън Хартли, CISSP и експерт по киберсигурност с Квантинум каза, че USB устройствата са част от търговския занаят, който противниците използват, за да разбият сигурността на така наречената „въздушна междина“ на системи, които не са свързани към публичния интернет.

„Те или са напълно забранени в чувствителна среда, или изискват специални контроли и проверки, защото на потенциала за добавяне или премахване на данни по явни начини, както и за въвеждане на скрит зловреден софтуер“, сподели Хартли.

Мотивът не е важен

Абстрактен изглед на Северна Америка от космоса с червени оптични кабели, издигащи се от големите градове — imaginima / Getty Images

Мелиса Бишопинг, специалист по изследване на сигурността на крайните точки в таний, каза пред Lifewire по имейл, че докато разбирането на мотива на зловреден софтуер може да помогне, изследователите имат множество възможности за анализиране на поведението и артефактите, които зловредният софтуер оставя след себе си, за да създаде откриване възможности.

„Докато разбирането на мотива може да бъде ценен инструмент за моделиране на заплахи и по-нататъшни изследвания, липсата на това разузнаването не обезсилва стойността на съществуващите артефакти и способности за откриване“, обясни Бишопиране.

Кумар Саураб, главен изпълнителен директор и съосновател на LogicHub, съгласи се. Той каза на Lifewire по имейл, че опитът да се разбере целта или мотивите на хакерите създава интересни новини, но не е много полезен от гледна точка на сигурността.

Saurabh добави, че зловредният софтуер Raspberry Robin има всички характеристики на опасна атака, включително отдалечен код екзекуция, постоянство и избягване, което е достатъчно доказателство, за да вдигне тревога и да предприеме агресивни действия за ограничаване разпространение.

„Наложително е екипите по киберсигурност да предприемат действия веднага щом забележат ранните предшественици на атака“, подчерта Саураб. „Ако изчакате, за да разберете крайната цел или мотиви, като рансъмуер, кражба на данни или прекъсване на услугата, вероятно ще бъде твърде късно.