Bài học rút ra chính
- An ninh mạng Các nhà nghiên cứu đã tìm thấy một phần mềm độc hại mới, nhưng không thể làm sáng tỏ mục tiêu của nó.
- Hiểu được trò chơi kết thúc giúp ích nhưng không quan trọng để hạn chế sự lây lan của nó, hãy đề xuất các chuyên gia khác.
- Mọi người không nên cắm các ổ đĩa di động không xác định vào PC của họ, vì phần mềm độc hại lây lan qua các đĩa USB bị nhiễm.
Có một phần mềm độc hại mới của Windows đang hoạt động, nhưng không ai chắc chắn về ý định của nó.
Các nhà nghiên cứu an ninh mạng từ Red Canary gần đây đã phát hiện ra một phần mềm độc hại giống sâu mới mà họ đặt tên là Raspberry Robin, lây lan qua các ổ USB bị nhiễm. Mặc dù họ có thể quan sát và nghiên cứu hoạt động của phần mềm độc hại, nhưng họ vẫn chưa thể tìm ra mục đích cuối cùng của nó.
"[Raspberry Robin] là một câu chuyện thú vị mà hồ sơ mối đe dọa cuối cùng vẫn chưa được xác định", Tim Helming, nhà truyền bá bảo mật của DomainTools, nói với Lifewire qua email. "Có quá nhiều ẩn số để nhấn nút hoảng sợ, nhưng đó là một lời nhắc nhở hữu ích rằng việc xây dựng khả năng phát hiện mạnh mẽ và thực hiện các biện pháp an ninh thông thường, chưa bao giờ quan trọng hơn."
Chụp trong bóng tối
Hiểu được mục tiêu cuối cùng của phần mềm độc hại giúp đánh giá mức độ rủi ro của nó, Helming giải thích.
Ví dụ: đôi khi các thiết bị bị xâm phạm, chẳng hạn như thiết bị lưu trữ gắn liền với mạng QNAP trong trường hợp của Raspberry Robin, được tuyển dụng vào các mạng botnet quy mô lớn để thực hiện các chiến dịch từ chối dịch vụ (DDoS) phân tán. Hoặc, các thiết bị bị xâm phạm có thể được sử dụng để khai thác tiền điện tử.
Trong cả hai trường hợp, sẽ không có nguy cơ mất dữ liệu ngay lập tức đối với các thiết bị bị nhiễm. Tuy nhiên, nếu Raspberry Robin đang giúp lắp ráp một mạng botnet ransomware, thì mức độ rủi ro đối với bất kỳ thiết bị bị nhiễm nào và mạng cục bộ mà nó được gắn vào, có thể cực kỳ cao, Helming nói.
Félix Aimé, nhà nghiên cứu tình báo và bảo mật về mối đe dọa tại Sekoia nói với Lifewire qua Twitter DMs rằng những “lỗ hổng thông minh” như vậy trong phân tích phần mềm độc hại không phải là chưa từng thấy trong ngành. Tuy nhiên, đáng lo ngại, anh ấy nói thêm rằng Raspberry Robin đang bị phát hiện bởi một số cửa hàng an ninh mạng khác (Sekoia theo dõi nó là sâu Qnap), điều này cho anh ấy biết rằng mạng botnet mà phần mềm độc hại đang cố gắng xây dựng khá lớn và có thể bao gồm trăm nghìn máy chủ bị xâm phạm.”
Điều quan trọng trong câu chuyện Raspberry Robin dành cho Sai Huda, Giám đốc điều hành của công ty an ninh mạng CyberCatch, là việc sử dụng ổ USB, cài đặt phần mềm độc hại một cách bí mật, sau đó tạo ra một kết nối liên tục với internet để tải xuống một phần mềm độc hại khác sau đó giao tiếp với máy chủ của kẻ tấn công.
“USB rất nguy hiểm và không được phép sử dụng,” Tiến sĩ Magda Chelly, Giám đốc An ninh Thông tin, tại Responsible Cyber, nhấn mạnh. “Chúng cung cấp một cách để phần mềm độc hại dễ dàng lây lan từ máy tính này sang máy tính khác. Đây là lý do tại sao điều quan trọng là phải cài đặt phần mềm bảo mật cập nhật trên máy tính của bạn và không bao giờ cắm USB mà bạn không tin tưởng.”
Trong một cuộc trao đổi qua email với Lifewire, Simon Hartley, CISSP và một chuyên gia an ninh mạng của Quantinuum cho biết ổ USB là một phần của kỹ thuật mà đối thủ sử dụng để phá vỡ cái gọi là bảo mật "lỗ hổng không khí" đối với các hệ thống không được kết nối với công chúng internet.
“Chúng bị cấm hoàn toàn trong môi trường nhạy cảm hoặc yêu cầu kiểm soát và xác minh đặc biệt vì có khả năng thêm hoặc xóa dữ liệu theo những cách công khai cũng như đưa phần mềm độc hại ẩn vào,” Hartley chia sẻ.
Động cơ không quan trọng
Melissa Bischoping, Chuyên gia Nghiên cứu Bảo mật Điểm cuối tại Tanium, nói với Lifewire qua email rằng trong khi hiểu động cơ của phần mềm độc hại có thể hữu ích, các nhà nghiên cứu có nhiều khả năng để phân tích hành vi và hiện vật mà phần mềm độc hại để lại, để tạo khả năng phát hiện.
“Mặc dù việc hiểu rõ động cơ có thể là một công cụ có giá trị để lập mô hình mối đe dọa và nghiên cứu thêm, nhưng sự thiếu vắng trí thông minh đó không làm mất giá trị của các hiện vật và khả năng phát hiện,” Bischoping giải thích.
Kumar Saurabh, Giám đốc điều hành và đồng sáng lập của LogicHub, đã đồng ý. Anh ấy nói với Lifewire qua email rằng cố gắng hiểu mục tiêu hoặc động cơ của tin tặc để tạo ra những tin tức thú vị, nhưng không hữu ích lắm từ góc độ bảo mật.
Saurabh nói thêm rằng phần mềm độc hại Raspberry Robin có tất cả các đặc điểm của một cuộc tấn công nguy hiểm, bao gồm thực thi mã từ xa, kiên trì và trốn tránh, đủ bằng chứng để báo động và thực hiện các hành động tích cực để hạn chế sự lây lan của nó.
"Các nhóm an ninh mạng bắt buộc phải hành động ngay khi họ phát hiện ra các tiền chất ban đầu của một cuộc tấn công", Saurabh nhấn mạnh. "Nếu bạn chờ đợi để hiểu mục tiêu hoặc động cơ cuối cùng, chẳng hạn như ransomware, đánh cắp dữ liệu, hoặc gián đoạn dịch vụ, có lẽ sẽ quá muộn."
