Mysterieuze nieuwe Windows-malware blijft onderzoekers kwetsen

May 10, 2022
InNieuws Internet Beveiliging

Cybersecurity Onderzoekers hebben een nieuwe malware gevonden, maar kunnen de doelstellingen ervan niet ontrafelen.
Het begrijpen van het eindspel helpt, maar is niet belangrijk om de verspreiding ervan te beteugelen, suggereren andere experts.
Mensen wordt geadviseerd geen onbekende verwijderbare schijven in hun pc's aan te sluiten, omdat de malware zich verspreidt via geïnfecteerde USB-schijven.

USB-drive aansluiten op een laptop — Karl Tapales / Getty Images

Er is een nieuwe Windows-malware die de ronde doet, maar niemand is zeker van zijn bedoelingen.

Cybersecurity-onderzoekers van Red Canary hebben onlangs een nieuwe wormachtige malware ontdekt die ze hebben genoemd Frambozen Robin, die zich verspreidt via geïnfecteerde USB-drives. Hoewel ze de werking van de malware hebben kunnen observeren en bestuderen, hebben ze het uiteindelijke doel ervan nog niet kunnen achterhalen.

"[Raspberry Robin] is een interessant verhaal waarvan het uiteindelijke dreigingsprofiel nog moet worden bepaald," Tim Helming, veiligheidsevangelist met

DomeinTools, vertelde Lifewire via e-mail. "Er zijn te veel onbekenden om op de paniekknop te drukken, maar het is een goede herinnering dat het bouwen van sterke detecties en het nemen van gezond verstand beveiligingsmaatregelen nog nooit zo belangrijk zijn geweest."

Fotograferen in het donker

Inzicht in het uiteindelijke doel van malware helpt het risiconiveau te beoordelen, legt Helming uit.

Bijvoorbeeld, soms gecompromitteerde apparaten, zoals de op het netwerk aangesloten opslagapparaten van QNAP in het geval van: Raspberry Robin, worden gerekruteerd in grootschalige botnets om gedistribueerde denial of service (DDoS) te monteren campagnes. Of de gecompromitteerde apparaten kunnen worden gebruikt voor het delven van cryptocurrency.

In beide gevallen zou er geen onmiddellijke dreiging van gegevensverlies zijn voor de geïnfecteerde apparaten. Als Raspberry Robin echter helpt bij het opzetten van een ransomware-botnet, kan het risiconiveau voor elk geïnfecteerd apparaat en het lokale netwerk waarop het is aangesloten extreem hoog zijn, zei Helming.

Felix Aime, dreigingsinlichtingen- en veiligheidsonderzoeker bij Sekoia vertelde Lifewire via Twitter DM's dat dergelijke "hiaten in de intelligentie" in malware-analyse niet ongehoord zijn in de industrie. Verontrustend voegde hij er echter aan toe dat Raspberry Robin wordt gedetecteerd door verschillende andere cybersecurity-outlets (Sekoia volgt het als de Qnap-worm), die hem vertelt dat het botnet dat de malware probeert te bouwen vrij groot is en mogelijk "honderdduizend gecompromitteerde hosts" kan bevatten.

Het cruciale punt in de Raspberry Robin-saga voor Sai Huda, CEO van cyberbeveiligingsbedrijf CyberCatch, is het gebruik van USB-drives, die heimelijk de malware installeert die vervolgens een blijvende verbinding met internet om een andere malware te downloaden die vervolgens communiceert met de aanvaller servers.

"USB's zijn gevaarlijk en zouden niet moeten worden toegestaan", benadrukte Dr. Magda Chelly, Chief Information Security Officer, bij Verantwoordelijke Cyber. “Ze bieden een manier waarop malware zich gemakkelijk van de ene computer naar de andere kan verspreiden. Daarom is het zo belangrijk om up-to-date beveiligingssoftware op je computer te hebben geïnstalleerd en nooit een USB aan te sluiten die je niet vertrouwt.”

In een e-mailuitwisseling met Lifewire, Simon Hartley, CISSP en een cybersecurity-expert met kwantum zei dat USB-drives deel uitmaken van het ambacht dat tegenstanders gebruiken om de zogenaamde "air gap" -beveiliging te doorbreken naar systemen die niet zijn verbonden met het openbare internet.

"Ze zijn ofwel ronduit verboden in gevoelige omgevingen of vereisen speciale controles en verificaties omdat van het potentieel voor het toevoegen of verwijderen van gegevens op openlijke manieren en voor het introduceren van verborgen malware,” shared Hartley.

Motief is niet belangrijk

Abstract uitzicht op Noord-Amerika vanuit de ruimte met rode glasvezelkabels die oprijzen uit grote steden — imaginima / Getty Images

Melissa Bishoping, Endpoint Security Research Specialist bij Tanium, vertelde Lifewire via e-mail dat hoewel het begrijpen van het motief van malware kan helpen, onderzoekers meerdere mogelijkheden voor het analyseren van het gedrag en de artefacten die malware achterlaat, om detectie te creëren mogelijkheden.

"Hoewel het begrijpen van het motief een waardevol hulpmiddel kan zijn voor dreigingsmodellering en verder onderzoek, is de afwezigheid daarvan intelligentie doet geen afbreuk aan de waarde van bestaande artefacten en detectiemogelijkheden,” verklaarde Bischoppen.

Kumar Saurabh, CEO en mede-oprichter van LogicHub, Akkoord. Hij vertelde Lifewire via e-mail dat het proberen om het doel of de motieven van hackers te begrijpen, interessant nieuws oplevert, maar niet erg nuttig is vanuit een beveiligingsperspectief.

Saurabh voegde toe dat de Raspberry Robin-malware alle kenmerken heeft van een gevaarlijke aanval, inclusief externe code executie, volharding en ontduiking, wat voldoende bewijs is om alarm te slaan en agressieve acties te ondernemen om de te beteugelen spreiding.

"Het is absoluut noodzakelijk dat cyberbeveiligingsteams actie ondernemen zodra ze de eerste voorlopers van een aanval zien", benadrukt Saurabh. "Als je wacht om het uiteindelijke doel of de motieven te begrijpen, zoals ransomware, gegevensdiefstal of serviceonderbreking, zal het waarschijnlijk te laat zijn."