Key Takeaways
- Cybersicherheitsforscher haben eine neue Malware gefunden, können aber ihre Ziele nicht enträtseln.
- Das Verständnis des Endspiels hilft, ist aber nicht wichtig, um seine Ausbreitung einzudämmen, schlagen Sie andere Experten vor.
- Es wird empfohlen, keine unbekannten Wechseldatenträger an ihren PC anzuschließen, da sich die Malware über infizierte USB-Festplatten verbreitet.
Eine neue Windows-Malware macht die Runde, aber niemand ist sich ihrer Absichten sicher.
Cybersicherheitsforscher von Red Canary haben kürzlich eine neue wurmähnliche Malware entdeckt, die sie Raspberry Robin nennen und die sich über infizierte USB-Laufwerke verbreitet. Obwohl sie die Funktionsweise der Malware beobachten und untersuchen konnten, konnten sie ihren eigentlichen Zweck noch nicht herausfinden.
"[Raspberry Robin] ist eine interessante Geschichte, deren endgültiges Bedrohungsprofil noch bestimmt werden muss", sagte Tim Helming, Sicherheitsevangelist bei DomainTools, Lifewire per E-Mail. „Es gibt zu viele Unbekannte, um den Panikknopf zu drücken, aber es ist eine gute Erinnerung daran, dass es noch nie so wichtig war, starke Erkennungen aufzubauen und Sicherheitsmaßnahmen mit gesundem Menschenverstand zu ergreifen.“
Shooting in The Dark
Das ultimative Ziel einer Malware zu verstehen, hilft bei der Einschätzung ihres Risikoniveaus, erklärte Helming.
Zum Beispiel werden manchmal kompromittierte Geräte, wie die QNAP-Netzwerkspeichergeräte im Fall von Raspberry Robin, in groß angelegte Botnets rekrutiert, um DDoS-Kampagnen (Distributed Denial of Service) zu starten. Oder die kompromittierten Geräte könnten zum Schürfen von Kryptowährung verwendet werden.
In beiden Fällen besteht keine unmittelbare Gefahr von Datenverlust auf den infizierten Geräten. Wenn jedoch Raspberry Robin beim Aufbau eines Ransomware-Botnetzes hilft, dann könnte das Risikoniveau für jedes infizierte Gerät und das lokale Netzwerk, an das es angeschlossen ist, extrem hoch sein, sagte Helming.
Félix Aimé, Threat Intelligence and Security Researcher bei Sekoia, sagte Lifewire über Twitter-DMs, dass solche „Intelligenzlücken“in der Malware-Analyse in der Branche nicht unbekannt sind. Besorgniserregend fügte er jedoch hinzu, dass Raspberry Robin von mehreren anderen Cybersicherheitsstellen entdeckt wird (Sekoia verfolgt es als Qnap-Wurm), was ihm sagt, dass das Botnetz, das die Malware aufzubauen versucht, ziemlich groß ist und vielleicht „Hunderttausende“umfassen könnte kompromittierter Hosts.“
Das Entscheidende in der Raspberry-Robin-Saga ist für Sai Huda, CEO des Cybersicherheitsunternehmens CyberCatch, die Verwendung von USB-Laufwerken, die heimlich die Malware installieren, die dann eine dauerhafte Verbindung zum Internet herstellt, um dann eine andere Malware herunterzuladen kommuniziert mit den Servern des Angreifers.
„USBs sind gefährlich und sollten nicht zugelassen werden“, betonte Dr. Magda Chelly, Chief Information Security Officer bei Responsible Cyber. „Sie bieten Malware eine Möglichkeit, sich leicht von einem Computer auf einen anderen zu verbreiten. Aus diesem Grund ist es so wichtig, dass auf Ihrem Computer aktuelle Sicherheitssoftware installiert ist und dass Sie niemals einen USB-Stick anschließen, dem Sie nicht vertrauen.“
In einem E-Mail-Austausch mit Lifewire sagten Simon Hartley, CISSP und ein Cybersicherheitsexperte von Quantinuum, dass USB-Laufwerke Teil des Handwerks sind, mit dem Angreifer die sogenannte „Luftlücke“-Sicherheit von Systemen durchbrechen, die nicht mit der Öffentlichkeit verbunden sind Internet.
"Sie sind in sensiblen Umgebungen entweder vollständig verboten oder erfordern spezielle Kontrollen und Überprüfungen, da sie möglicherweise Daten auf offensichtliche Weise hinzufügen oder entfernen sowie versteckte Malware einschleusen können", teilte Hartley mit.
Motiv ist nicht wichtig
Melissa Bischoping, Endpoint Security Research Specialist bei Tanium, teilte Lifewire per E-Mail mit, dass es zwar hilfreich sein kann, das Motiv einer Malware zu verstehen, Forscher jedoch über mehrere Möglichkeiten verfügen, um das Verh alten und die Artefakte zu analysieren, die Malware hinterlässt, um Erkennungsmöglichkeiten zu schaffen.
"Während das Verständnis des Motivs ein wertvolles Werkzeug für die Bedrohungsmodellierung und weitere Forschung sein kann, macht das Fehlen dieser Informationen den Wert bestehender Artefakte und Erkennungsfähigkeiten nicht ungültig", erklärte Bischoping.
Kumar Saurabh, CEO und Mitbegründer von LogicHub, stimmte zu. Er teilte Lifewire per E-Mail mit, dass der Versuch, das Ziel oder die Motive von Hackern zu verstehen, zwar interessante Neuigkeiten, aber aus Sicherheitssicht nicht sehr nützlich sei.
Saurabh fügte hinzu, dass die Raspberry Robin-Malware alle Merkmale eines gefährlichen Angriffs aufweist, einschließlich Remote-Code-Ausführung, Persistenz und Umgehung, was genug Beweise ist, um Alarm zu schlagen und aggressive Maßnahmen zu ergreifen, um ihre Ausbreitung einzudämmen.
„Für Cybersicherheitsteams ist es unerlässlich, Maßnahmen zu ergreifen, sobald sie die frühen Vorboten eines Angriffs erkennen“, betonte Saurabh Dienstunterbrechung, es wird wahrscheinlich zu spät sein."
