Clau per emportar
- Ciberseguretat Els investigadors han trobat un nou programari maliciós, però no poden desentranyar-ne els objectius.
- Entendre el final del joc ajuda, però no és important per frenar-ne la propagació, suggeriu altres experts.
- Es recomana a les persones que no connectin unitats extraïbles desconegudes als seus ordinadors, ja que el programari maliciós es propaga a través de discs USB infectats.
Hi ha un nou programari maliciós de Windows circulant, però ningú està segur de les seves intencions.
Els investigadors de ciberseguretat de Red Canary van descobrir recentment un nou programari maliciós semblant a un cuc que han batejat com a Raspberry Robin, que s'estén mitjançant unitats USB infectades. Tot i que han pogut observar i estudiar el funcionament del programari maliciós, encara no han pogut esbrinar el seu objectiu final.
"[Raspberry Robin] és una història interessant el perfil d'amenaça final encara no s'ha determinat", va dir Tim Helming, evangelista de seguretat de DomainTools, a Lifewire per correu electrònic. "Hi ha massa incògnites per prémer el botó de pànic, però és un bon recordatori que crear deteccions fortes i prendre mesures de seguretat de sentit comú mai han estat més importants."
Fotot a la foscor
Comprendre l'objectiu final d'un programari maliciós ajuda a avaluar-ne el nivell de risc, va explicar Helming.
Per exemple, de vegades, els dispositius compromesos, com ara els dispositius d'emmagatzematge connectats a la xarxa de QNAP en el cas de Raspberry Robin, es recluten en botnets a gran escala per muntar campanyes de denegació de servei distribuïda (DDoS). O bé, els dispositius compromesos es podrien utilitzar per extreure criptomoneda.
En ambdós casos, no hi hauria cap amenaça immediata de pèrdua de dades per als dispositius infectats. Tanmateix, si Raspberry Robin està ajudant a muntar una botnet de ransomware, el nivell de risc per a qualsevol dispositiu infectat i la xarxa d'àrea local a la qual està connectat podria ser extremadament alt, va dir Helming..
Félix Aimé, investigador d'intel·ligència i seguretat d'amenaces de Sekoia, va dir a Lifewire a través de DM de Twitter que aquests "buits d'intel·ligència" en l'anàlisi de programari maliciós no són inaudits al sector. Preocupant, però, va afegir que Raspberry Robin està sent detectat per diversos altres punts de venda de ciberseguretat (Sekoia el rastreja com el cuc Qnap), la qual cosa li diu que la xarxa de bots que intenta crear el programari maliciós és bastant gran i potser podria incloure "cent mil d'amfitrions compromeses."
El crític de la saga Raspberry Robin per a Sai Huda, director general de l'empresa de ciberseguretat CyberCatch, és l'ús de unitats USB, que instal·la de manera encoberta el programari maliciós que després crea una connexió persistent a Internet per descarregar un altre programari maliciós que després es comunica amb els servidors de l'atacant.
"Els USB són perillosos i no s'han de permetre", va subratllar la doctora Magda Chelly, directora de seguretat de la informació de Responsible Cyber. "Proporcionen una manera perquè el programari maliciós es propagui fàcilment d'un ordinador a un altre. Per això és tan important tenir instal·lat un programari de seguretat actualitzat a l'ordinador i no connectar mai un USB en el qual no confieu."
En un intercanvi de correu electrònic amb Lifewire, Simon Hartley, CISSP i un expert en ciberseguretat de Quantinuum van dir que les unitats USB formen part de l'ofici que els adversaris utilitzen per trencar la seguretat de l'anomenada "bretxa d'aire" als sistemes no connectats al públic. Internet.
"Estan totalment prohibits en entorns sensibles o requereixen controls i verificacions especials a causa de la possibilitat d'afegir o eliminar dades de maneres obertes, així com d'introduir programari maliciós ocult", ha compartit Hartley.
El motiu no és important
Melissa Bischoping, especialista en investigació de seguretat de punt final de Tanium, va dir a Lifewire per correu electrònic que, tot i que entendre el motiu d'un programari maliciós pot ajudar, els investigadors tenen múltiples capacitats per analitzar el comportament i els artefactes que deixa enrere el programari maliciós per crear capacitats de detecció.
"Tot i que la comprensió del motiu pot ser una eina valuosa per a la modelització d'amenaces i la investigació posterior, l'absència d'aquesta intel·ligència no invalida el valor dels artefactes i les capacitats de detecció existents", va explicar Bischoping..
Kumar Saurabh, CEO i cofundador de LogicHub, va estar d'acord. Va dir a Lifewire per correu electrònic que intentar entendre l'objectiu o els motius dels pirates informàtics és una notícia interessant, però no és molt útil des del punt de vista de la seguretat.
Saurabh ha afegit que el programari maliciós Raspberry Robin té totes les característiques d'un atac perillós, inclosa l'execució remota de codi, la persistència i l'evasió, que són proves suficients per sonar l'alarma i prendre accions agressives per frenar la seva propagació.
"És imprescindible que els equips de ciberseguretat actuïn tan aviat com detectin els primers precursors d'un atac", va subratllar Saurabh. "Si espereu a comprendre l'objectiu final o els motius, com ara el ransomware, el robatori de dades o interrupció del servei, probablement serà massa tard."
