Salaperäiset uudet Windows-haittaohjelmat jatkuvat vihamielisten tutkijoiden parissa
- Kyberturvallisuustutkijat ovat löytäneet uuden haittaohjelman, mutta eivät voi purkaa sen tavoitteita.
- Loppupelin ymmärtäminen auttaa, mutta ei ole tärkeää sen leviämisen hillitsemisessä, ehdottavat muut asiantuntijat.
- Ihmisiä kehotetaan olemaan kytkemättä tuntemattomia irrotettavia asemia tietokoneisiinsa, koska haittaohjelmat leviävät saastuneiden USB-levyjen kautta.
Karl Tapales / Getty Images
Uusi Windows-haittaohjelma kiertää, mutta kukaan ei ole varma sen aikomuksista.
Red Canaryn kyberturvallisuustutkijat löysivät äskettäin uuden matomaisen haittaohjelman, jonka he ovat kutsuneet Vadelma Robin, joka leviää saastuneiden USB-asemien kautta. Vaikka he ovat voineet tarkkailla ja tutkia haittaohjelman toimintaa, he eivät ole vielä kyenneet selvittämään sen perimmäistä tarkoitusta.
"[Vadelma Robin] on mielenkiintoinen tarina, jonka lopullista uhkaprofiilia ei ole vielä määritetty." Tim Helming, turvallisuusevankelista DomainTools, kertoi Lifewirelle sähköpostitse. "On liian monia tuntemattomia painaakseen paniikkinappulaa, mutta se on hyvä muistutus siitä, että vahvojen havaintojen rakentaminen ja tervejärkisten turvatoimien toteuttaminen eivät ole koskaan olleet tärkeämpiä."
Ammunta pimeässä
Haittaohjelman perimmäisen tavoitteen ymmärtäminen auttaa arvioimaan sen riskitason, Helming selitti.
Esimerkiksi joskus vaarantuneet laitteet, kuten QNAP-verkkoon liitetyt tallennuslaitteet, jos kyseessä on Raspberry Robin, rekrytoidaan suuriin botnet-verkkoihin hajautetun palveluneston (DDoS) asentamiseksi. kampanjoita. Tai vaarantuneita laitteita voitaisiin käyttää kryptovaluutan louhintaan.
Molemmissa tapauksissa ei olisi välitöntä uhkaa tietojen menettämisestä tartunnan saaneille laitteille. Kuitenkin, jos Raspberry Robin auttaa ransomware-botnetin kokoamisessa, minkä tahansa tartunnan saaneen laitteen ja sen lähiverkon riskitaso voi olla erittäin korkea, Helming sanoi.
Félix Aimé, uhka Tiedustelu- ja turvallisuustutkija osoitteessa Sekoia kertoi Lifewirelle Twitter-viestien kautta, että tällaisia "tietopuutteita" haittaohjelmien analysoinnissa ei ole ennenkuulumatonta alalla. Hän kuitenkin lisäsi huolestuttavana, että useat muut kyberturvallisuuspisteet havaitsevat Raspberry Robinin (Sekoia seuraa sitä Qnap mato), joka kertoo hänelle, että botnet, jota haittaohjelma yrittää rakentaa, on melko suuri ja saattaa sisältää "satojatuhansia vaarantuneita isäntiä".
Kriittinen asia Raspberry Robin -saagassa Sai Huda, kyberturvallisuusyhtiön toimitusjohtaja CyberCatch, on USB-asemien käyttö, joka asentaa piilossa haittaohjelman, joka sitten luo pysyvän yhteyden Internetiin ladataksesi toisen haittaohjelman, joka sitten kommunikoi hyökkääjän kanssa palvelimia.
"USB: t ovat vaarallisia, eikä niitä pidä sallia", painotti Tohtori Magda Chelly, tietoturvapäällikkö, osoitteessa Vastuullinen kyber. "Ne tarjoavat tavan haittaohjelmille levitä helposti tietokoneelta toiselle. Tästä syystä on niin tärkeää, että tietokoneellesi on asennettu ajan tasalla oleva tietoturvaohjelmisto, etkä koskaan kytke USB-liitäntää, johon et luota."
Sähköpostinvaihdossa Lifewiren kanssa Simon Hartley, CISSP ja kyberturvallisuusasiantuntija Kvanttiuumi mainitut USB-asemat ovat osa kauppaa, jota vastustajat käyttävät murtaakseen niin sanotun "ilmaraon" turvallisuuden järjestelmiin, jotka eivät ole yhteydessä julkiseen Internetiin.
"Ne ovat joko kokonaan kiellettyjä herkissä ympäristöissä tai vaativat erityistä valvontaa ja todentamista, koska mahdollisuudesta lisätä tai poistaa tietoja avoimilla tavoilla sekä tuoda esiin piilotettuja haittaohjelmia", kertoi Hartley.
Motiivi ei ole tärkeä
imaginima / Getty Images
Melissa Bischoping, Endpoint Security Research Specialist osoitteessa Tanium, kertoi Lifewirelle sähköpostitse, että vaikka haittaohjelman motiivin ymmärtäminen voi auttaa, tutkijoilla on useita kyky analysoida haittaohjelmien jättämiä käyttäytymistä ja esineitä havaitsemisen luomiseksi kykyjä.
”Vaikka motiivin ymmärtäminen voi olla arvokas työkalu uhkien mallintamiseen ja jatkotutkimukseen, sen puuttuminen älykkyys ei mitätöi olemassa olevien esineiden ja tunnistusominaisuuksien arvoa", selitti Bischoping.
Kumar Saurabh, toimitusjohtaja ja toinen perustaja LogicHub, sovittu. Hän kertoi Lifewirelle sähköpostitse, että hakkereiden tavoitteen tai motiivien ymmärtäminen tarjoaa mielenkiintoisia uutisia, mutta se ei ole kovin hyödyllistä turvallisuusnäkökulmasta.
Saurabh lisäsi, että Raspberry Robin -haittaohjelmalla on kaikki vaarallisen hyökkäyksen ominaisuudet, mukaan lukien etäkoodi teloitus, sinnikkyys ja kiertäminen, mikä on tarpeeksi todisteita hälyttämään ja ryhtymään aggressiivisiin toimiin sen hillitsemiseksi. levitän.
"Kyberturvatiimien on välttämätöntä ryhtyä toimiin heti, kun he havaitsevat hyökkäyksen varhaiset esiasteet", Saurabh korosti. "Jos odotat ymmärtääksesi perimmäisen tavoitteen tai motiivit, kuten kiristysohjelmat, tietovarkaudet tai palvelun häiriöt, on todennäköisesti liian myöhäistä."