Sleutel wegneemetes
- Cybersecurity Navorsers het 'n nuwe wanware gevind, maar kan nie die doelwitte daarvan ontrafel nie.
- Om die eindspel te verstaan help, maar is nie belangrik om die verspreiding daarvan te beperk nie, stel ander kenners voor.
- Mense word aangeraai om nie onbekende verwyderbare aandrywers in hul rekenaars in te prop nie, aangesien die wanware via besmette USB-skywe versprei.
Daar is 'n nuwe Windows-wanware wat die rondte doen, maar niemand is seker van sy bedoelings nie.
Cybersecurity-navorsers van Red Canary het onlangs 'n nuwe wurmagtige wanware ontdek wat hulle Raspberry Robin genoem het, wat via besmette USB-aandrywers versprei. Alhoewel hulle in staat was om die werking van die wanware waar te neem en te bestudeer, kon hulle nog nie die uiteindelike doel daarvan uitvind nie.
"[Raspberry Robin] is 'n interessante storie waarvan die uiteindelike bedreigingsprofiel nog bepaal moet word," het Tim Helming, sekuriteitsevangelis met DomainTools, per e-pos aan Lifewire gesê. "Daar is te veel onbekendes om op die paniekknoppie te druk, maar dit is 'n goeie herinnering dat die bou van sterk opsporings, en die neem van gesonde verstand sekuriteitsmaatreëls, nog nooit so belangrik was nie."
Skiet in die donker
Om 'n wanware se uiteindelike doelwit te verstaan, help om sy risikovlak te beoordeel, het Helming verduidelik.
Byvoorbeeld, soms gekompromitteerde toestelle, soos die QNAP-netwerkgehegte bergingstoestelle in die geval van Raspberry Robin, word in grootskaalse botnets gewerf om verspreide ontkenning van diens (DDoS)-veldtogte te begin. Of die gekompromitteerde toestelle kan gebruik word vir die ontginning van cryptocurrency.
In beide gevalle sou daar nie 'n onmiddellike bedreiging van dataverlies vir die besmette toestelle wees nie. As Raspberry Robin egter help om 'n losprysware-botnet saam te stel, kan die risikovlak vir enige besmette toestel, en die plaaslike area-netwerk waaraan dit gekoppel is, uiters hoog wees, het Helming gesê.
Félix Aimé, bedreigingsintelligensie- en sekuriteitsnavorser by Sekoia het via Twitter DM's aan Lifewire gesê dat sulke "intelligensiegapings" in wanware-analise nie ongehoord in die bedryf is nie. Hy het egter kommerwekkend bygevoeg dat Raspberry Robin deur verskeie ander kuberveiligheidsafsetpunte opgespoor word (Sekoia volg dit as die Qnap-wurm), wat vir hom sê dat die botnet wat die wanware probeer bou, redelik groot is, en miskien "honderdduisend" kan insluit. van gekompromitteerde leërskare.”
Die kritieke ding in die Raspberry Robin-sage vir Sai Huda, HUB van die kuberveiligheidsmaatskappy CyberCatch, is die gebruik van USB-aandrywers, wat die wanware in die geheim installeer wat dan 'n aanhoudende verbinding met die internet skep om 'n ander wanware af te laai wat dan kommunikeer met die aanvaller se bedieners.
“USB's is gevaarlik en behoort nie toegelaat te word nie,” beklemtoon dr. Magda Chelly, hoofinligtingsekuriteitsbeampte by Responsible Cyber. Hulle bied 'n manier vir wanware om maklik van een rekenaar na 'n ander te versprei. Dit is hoekom dit so belangrik is om bygewerkte sekuriteitsagteware op jou rekenaar geïnstalleer te hê en om nooit 'n USB in te koppel wat jy nie vertrou nie.”
In 'n e-poswisseling met Lifewire het Simon Hartley, CISSP en 'n kuberveiligheidskenner met Quantinuum gesê USB-aandrywers is deel van die handel wat teëstanders gebruik om sogenaamde "luggaping"-sekuriteit te verbreek na stelsels wat nie aan die publiek gekoppel is nie internet.
“Hulle word óf heeltemal verban in sensitiewe omgewings óf vereis spesiale kontroles en verifikasies weens die potensiaal om data op openlike maniere by te voeg of te verwyder, asook om verborge wanware bekend te stel,” het Hartley gedeel.
Motief is nie belangrik nie
Melissa Bischoping, eindpuntsekuriteitnavorsingspesialis by Tanium, het per e-pos aan Lifewire gesê dat hoewel die begrip van 'n wanware se motief kan help, het navorsers verskeie vermoëns om die gedrag en artefakte wat wanware agterlaat te ontleed, om opsporingsvermoëns te skep.
“Terwyl die begrip van motief 'n waardevolle hulpmiddel vir bedreigingsmodellering en verdere navorsing kan wees, maak die afwesigheid van daardie intelligensie nie die waarde van bestaande artefakte en opsporingsvermoëns ongeldig nie,” het Bischoping verduidelik.
Kumar Saurabh, uitvoerende hoof en medestigter van LogicHub, het ingestem. Hy het per e-pos aan Lifewire gesê om te probeer om die doel of motiewe van kuberkrakers te verstaan, lewer interessante nuus, maar dit is nie baie nuttig vanuit 'n sekuriteitsperspektief nie.
Saurabh het bygevoeg die Raspberry Robin-wanware het al die kenmerke van 'n gevaarlike aanval, insluitend afgeleë kode-uitvoering, volharding en ontduiking, wat genoeg bewyse is om alarm te maak en aggressiewe aksies te neem om die verspreiding daarvan te beperk.
"Dit is noodsaaklik vir kuberveiligheidspanne om op te tree sodra hulle die vroeë voorlopers van 'n aanval raaksien," beklemtoon Saurabh. "As jy wag om die uiteindelike doel of motiewe te verstaan, soos losprysware, datadiefstal, of diensontwrigting, sal dit waarskynlik te laat wees."