Un nou malware Windows misterios continuă să provoace cercetători

May 10, 2022
ÎnȘtiri Securitatea Internetului

Cercetătorii în domeniul securității cibernetice au găsit un nou malware, dar nu pot dezvălui obiectivele acestuia.
Înțelegerea jocului final ajută, dar nu este importantă pentru a-i reduce răspândirea, sugerează alți experți.
Oamenii sunt sfătuiți să nu conecteze unități amovibile necunoscute în computerele lor, deoarece malware-ul se răspândește prin discuri USB infectate.

Unitate USB conectată la un laptop — Karl Tapales / Getty Images

Există un nou malware Windows care circulă, dar nimeni nu este sigur de intențiile lui.

Cercetătorii de securitate cibernetică de la Red Canary au descoperit recent un nou malware asemănător viermilor pe care l-au numit Zmeura Robin, care se răspândește prin intermediul unităților USB infectate. Deși au reușit să observe și să studieze funcționarea malware-ului, ei nu au reușit încă să-și dea seama scopul final.

„[Raspberry Robin] este o poveste interesantă al cărei profil final de amenințare nu a fost încă determinat.” Tim Helming, evanghelist de securitate cu DomainTools, a spus Lifewire prin e-mail. „Sunt prea multe necunoscute pentru a apăsa butonul de panică, dar este o bună reamintire că construirea de detectări puternice și luarea măsurilor de securitate de bun simț nu au fost niciodată mai importante.”

Filmare în întuneric

Înțelegerea obiectivului final al unui malware ajută la evaluarea nivelului de risc al acestuia, a explicat Helming.

De exemplu, uneori dispozitive compromise, cum ar fi dispozitivele de stocare atașate la rețea QNAP în cazul Raspberry Robin, sunt recrutați în rețele botnet la scară largă pentru a monta refuzul de serviciu distribuit (DDoS) campanii. Sau, dispozitivele compromise ar putea fi folosite pentru extragerea criptomonedei.

În ambele cazuri, nu ar exista o amenințare imediată de pierdere a datelor pentru dispozitivele infectate. Cu toate acestea, dacă Raspberry Robin ajută la asamblarea unui botnet ransomware, atunci nivelul de risc pentru orice dispozitiv infectat și rețeaua locală la care este atașat ar putea fi extrem de ridicat, a spus Helming.

Félix Aimé, Cercetător în domeniul informațiilor și securității amenințărilor la Sekoia a declarat pentru Lifewire prin intermediul mesajelor DM Twitter că astfel de „lacune de informații” în analiza programelor malware nu sunt nemaiauzite în industrie. În mod îngrijorător, totuși, el a adăugat că Raspberry Robin este detectat de alte câteva puncte de vânzare cibernetice (Sekoia îl urmărește ca Viermele Qnap), care îi spune că botnet-ul pe care malware-ul încearcă să o creeze este destul de mare și ar putea include „sute de mii de gazde compromise”.

Lucrul critic din saga Raspberry Robin pentru Sai Huda, CEO al companiei de securitate cibernetică CyberCatch, este utilizarea de unități USB, care instalează în mod ascuns malware-ul care apoi creează un persistent conexiune la internet pentru a descărca un alt malware care apoi comunică cu atacatorul servere.

„USB-urile sunt periculoase și nu ar trebui permise”, a subliniat Dr. Magda Chelly, Chief Information Security Officer, la Cyber responsabil. „Oferă o modalitate prin care programele malware să se răspândească cu ușurință de la un computer la altul. Acesta este motivul pentru care este atât de important să aveți software de securitate actualizat instalat pe computer și să nu conectați niciodată un USB în care nu aveți încredere.”

Într-un schimb de e-mail cu Lifewire, Simon Hartley, CISSP și un expert în securitate cibernetică cu Quantinuum respectivele unități USB fac parte din meserie pe care o folosesc adversarii pentru a distruge așa-numita „decalaj de aer” a sistemelor care nu sunt conectate la internetul public.

„Fie sunt complet interzise în medii sensibile, fie necesită controale și verificări speciale pentru că despre potențialul de a adăuga sau de a elimina date în moduri deschise, precum și de a introduce malware ascuns”, a spus Hartley.

Motivul nu este important

Vedere abstractă a Americii de Nord din spațiu cu cabluri roșii de fibră optică care se ridică din orașele mari — imaginima / Getty Images

Melissa Bischoping, Endpoint Security Research Specialist la Tanium, a spus Lifewire prin e-mail că, deși înțelegerea motivului unui malware poate ajuta, cercetătorii au mai multe capabilități de analiză a comportamentului și a artefactelor pe care malware-ul le lasă în urmă, pentru a crea detectarea capabilități.

„În timp ce înțelegerea motivului poate fi un instrument valoros pentru modelarea amenințărilor și cercetări ulterioare, absența acestuia inteligența nu invalidează valoarea artefactelor existente și a capacităților de detectare”, a explicat Bischoping.

Kumar Saurabh, CEO și co-fondator al LogicHub, de acord. El a spus lui Lifewire prin e-mail că încercarea de a înțelege scopul sau motivele hackerilor este o veste interesantă, dar nu este foarte utilă din punct de vedere al securității.

Saurabh a adăugat că malware-ul Raspberry Robin are toate caracteristicile unui atac periculos, inclusiv codul de la distanță execuție, perseverență și evaziune, care sunt dovezi suficiente pentru a suna alarma și pentru a lua măsuri agresive pentru a-și reduce răspândire.

„Este imperativ ca echipele de securitate cibernetică să ia măsuri imediat ce identifică precursorii timpurii ai unui atac”, a subliniat Saurabh. „Dacă așteptați să înțelegeți scopul sau motivele finale, cum ar fi ransomware, furtul de date sau întreruperea serviciului, probabil că va fi prea târziu.”