Belangrijkste afhaalrestaurants
- Cybersecurity-onderzoekers hebben nieuwe malware gevonden, maar kunnen de doelstellingen ervan niet ontrafelen.
- Inzicht in het eindspel helpt, maar is niet belangrijk om de verspreiding ervan te beteugelen, stel andere experts voor.
- Mensen wordt geadviseerd geen onbekende verwijderbare schijven in hun pc's aan te sluiten, aangezien de malware zich verspreidt via geïnfecteerde USB-schijven.
Er is een nieuwe Windows-malware die de ronde doet, maar niemand is zeker van de bedoelingen.
Cybersecurity-onderzoekers van Red Canary hebben onlangs een nieuwe wormachtige malware ontdekt die ze Raspberry Robin hebben genoemd en die zich verspreidt via geïnfecteerde USB-drives. Hoewel ze de werking van de malware hebben kunnen observeren en bestuderen, hebben ze het uiteindelijke doel ervan nog niet kunnen achterhalen.
"[Raspberry Robin] is een interessant verhaal waarvan het uiteindelijke dreigingsprofiel nog moet worden bepaald", vertelde Tim Helming, beveiligingsevangelist bij DomainTools, via e-mail aan Lifewire. "Er zijn te veel onbekenden om op de paniekknop te drukken, maar het is een goede herinnering dat het bouwen van sterke detecties en het nemen van gezond verstand beveiligingsmaatregelen nog nooit zo belangrijk zijn geweest."
Schieten in het donker
Inzicht in het uiteindelijke doel van malware helpt het risiconiveau te beoordelen, legt Helming uit.
Soms worden bijvoorbeeld gecompromitteerde apparaten, zoals de QNAP-netwerk-gekoppelde opslagapparaten in het geval van Raspberry Robin, gerekruteerd in grootschalige botnets om gedistribueerde denial of service (DDoS)-campagnes op te zetten. Of de gecompromitteerde apparaten kunnen worden gebruikt voor het delven van cryptocurrency.
In beide gevallen zou er geen onmiddellijke dreiging zijn van gegevensverlies voor de geïnfecteerde apparaten. Als Raspberry Robin echter helpt bij het opzetten van een ransomware-botnet, kan het risiconiveau voor elk geïnfecteerd apparaat en het lokale netwerk waarop het is aangesloten extreem hoog zijn, zei Helming.
Félix Aimé, dreigingsinlichtingen- en beveiligingsonderzoeker bij Sekoia vertelde Lifewire via Twitter DM's dat dergelijke "hiaten in de intelligentie" in malware-analyse niet ongehoord zijn in de branche. Verontrustend voegde hij er echter aan toe dat Raspberry Robin wordt gedetecteerd door verschillende andere cybersecurity-outlets (Sekoia volgt het op als de Qnap-worm), wat hem vertelt dat het botnet dat de malware probeert te bouwen vrij groot is en mogelijk "honderdduizend van gecompromitteerde hosts.”
Het cruciale in de Raspberry Robin-saga voor Sai Huda, CEO van cyberbeveiligingsbedrijf CyberCatch, is het gebruik van USB-drives, die heimelijk de malware installeert die vervolgens een permanente verbinding met internet tot stand brengt om een andere malware te downloaden die vervolgens communiceert met de servers van de aanvaller.
"USB's zijn gevaarlijk en zouden niet moeten worden toegestaan", benadrukt Dr. Magda Chelly, Chief Information Security Officer, bij Responsible Cyber. “Ze bieden een manier waarop malware zich gemakkelijk van de ene computer naar de andere kan verspreiden. Daarom is het zo belangrijk om up-to-date beveiligingssoftware op je computer te installeren en nooit een USB aan te sluiten die je niet vertrouwt.”
In een e-mailuitwisseling met Lifewire zeiden Simon Hartley, CISSP en een cyberbeveiligingsexpert bij Quantinuum dat USB-drives deel uitmaken van het ambacht dat tegenstanders gebruiken om de zogenaamde "air gap" -beveiliging te doorbreken naar systemen die niet verbonden zijn met het publiek internet.
"Ze zijn ofwel ronduit verbannen in gevoelige omgevingen of vereisen speciale controles en verificaties vanwege de mogelijkheid om op openlijke manieren gegevens toe te voegen of te verwijderen en om verborgen malware te introduceren", deelde Hartley.
Motief is niet belangrijk
Melissa Bischoping, Endpoint Security Research Specialist bij Tanium, vertelde Lifewire via e-mail dat hoewel het begrijpen van het motief van malware kan helpen, onderzoekers meerdere mogelijkheden hebben voor het analyseren van het gedrag en de artefacten die malware achterlaat, om detectiemogelijkheden te creëren.
"Hoewel het begrijpen van het motief een waardevol hulpmiddel kan zijn voor het modelleren van bedreigingen en verder onderzoek, doet de afwezigheid van die informatie de waarde van bestaande artefacten en detectiemogelijkheden niet teniet", legt Bischoping uit.
Kumar Saurabh, CEO en mede-oprichter van LogicHub, was het daarmee eens. Hij vertelde Lifewire via e-mail dat het proberen om het doel of de motieven van hackers te begrijpen, interessant nieuws oplevert, maar niet erg nuttig is vanuit een beveiligingsperspectief.
Saurabh voegde toe dat de Raspberry Robin-malware alle kenmerken heeft van een gevaarlijke aanval, inclusief uitvoering van code op afstand, volharding en ontduiking, wat voldoende bewijs is om alarm te slaan en agressieve acties te ondernemen om de verspreiding ervan te beteugelen.
"Het is absoluut noodzakelijk dat cyberbeveiligingsteams actie ondernemen zodra ze de vroege voorlopers van een aanval zien", benadrukt Saurabh. "Als je wacht om het uiteindelijke doel of de uiteindelijke motieven te begrijpen, zoals ransomware, gegevensdiefstal of serviceonderbreking, zal het waarschijnlijk te laat zijn."