ซื้อกลับบ้านที่สำคัญ
- Cybersecurity นักวิจัยพบมัลแวร์ตัวใหม่ แต่ไม่สามารถคลี่คลายวัตถุประสงค์ได้
- การทำความเข้าใจตอนจบเกมช่วยได้แต่ไม่สำคัญในการควบคุมการแพร่กระจาย แนะนำผู้เชี่ยวชาญคนอื่นๆ
- ผู้คนไม่ควรเสียบไดรฟ์ที่ถอดออกได้ที่ไม่รู้จักในพีซี เนื่องจากมัลแวร์แพร่กระจายผ่านดิสก์ USB ที่ติดไวรัส
มีมัลแวร์ Windows ตัวใหม่เข้ามาแทนที่ แต่ไม่มีใครแน่ใจในเจตนาของมัน
นักวิจัยด้านความปลอดภัยทางไซเบอร์จาก Red Canary เพิ่งค้นพบมัลแวร์คล้ายเวิร์มตัวใหม่ที่พวกเขาขนานนามว่า Raspberry Robin ซึ่งแพร่กระจายผ่านไดรฟ์ USB ที่ติดไวรัสแม้ว่าพวกเขาจะสามารถสังเกตและศึกษาการทำงานของมัลแวร์ได้ แต่ก็ยังไม่สามารถระบุจุดประสงค์สูงสุดของมันได้
"[Raspberry Robin] เป็นเรื่องราวที่น่าสนใจซึ่งยังไม่ได้กำหนดโปรไฟล์ภัยคุกคามขั้นสุดท้าย" Tim Helming ผู้เผยแพร่ศาสนาด้านความปลอดภัยของ DomainTools กล่าวกับ Lifewire ทางอีเมล "มีสิ่งที่ไม่รู้จักมากเกินไปที่จะกดปุ่มตื่นตระหนก แต่เป็นการเตือนที่ดีว่าการสร้างการตรวจจับที่รัดกุมและการใช้มาตรการรักษาความปลอดภัยด้วยสามัญสำนึกไม่เคยมีความสำคัญมากนัก"
การยิงในความมืด
การทำความเข้าใจวัตถุประสงค์สูงสุดของมัลแวร์ช่วยประเมินระดับความเสี่ยงของมัน Helming อธิบาย
ตัวอย่างเช่น อุปกรณ์ที่ถูกบุกรุกในบางครั้ง เช่น อุปกรณ์จัดเก็บข้อมูลที่เชื่อมต่อกับเครือข่าย QNAP ในกรณีของ Raspberry Robin ถูกคัดเลือกเข้าสู่บ็อตเน็ตขนาดใหญ่เพื่อติดตั้งแคมเปญการปฏิเสธบริการแบบกระจาย (DDoS) หรืออุปกรณ์ที่ถูกบุกรุกสามารถใช้สำหรับการขุด cryptocurrency
ในทั้งสองกรณี จะไม่มีภัยคุกคามต่อข้อมูลสูญหายในอุปกรณ์ที่ติดไวรัสในทันที อย่างไรก็ตาม หาก Raspberry Robin กำลังช่วยรวบรวมบ็อตเน็ตแรนซัมแวร์ ระดับความเสี่ยงสำหรับอุปกรณ์ที่ติดไวรัสและเครือข่ายท้องถิ่นที่เชื่อมต่อนั้นอาจสูงมาก Helming กล่าว
Félix Aimé นักวิจัยด้านภัยคุกคามและความปลอดภัยที่ Sekoia บอกกับ Lifewire ผ่าน Twitter DMs ว่า “ช่องว่างด้านสติปัญญา” ในการวิเคราะห์มัลแวร์นั้นไม่เคยเกิดขึ้นมาก่อนในอุตสาหกรรมนี้ อย่างไรก็ตาม น่าเป็นห่วงที่เขาเสริมว่า Raspberry Robin ถูกตรวจพบโดยร้านรักษาความปลอดภัยทางไซเบอร์อื่น ๆ อีกหลายแห่ง (Sekoia ติดตามว่าเป็นเวิร์ม Qnap) ซึ่งบอกเขาว่าบ็อตเน็ตที่มัลแวร์พยายามสร้างนั้นค่อนข้างใหญ่ และอาจรวมถึง “แสนคน ของโฮสต์ที่ถูกบุกรุก”
สิ่งสำคัญในเทพนิยาย Raspberry Robin สำหรับ Sai Huda ซีอีโอของ CyberCatch บริษัทความปลอดภัยทางไซเบอร์คือการใช้ไดรฟ์ USB ซึ่งแอบแฝงติดตั้งมัลแวร์ที่สร้างการเชื่อมต่ออย่างต่อเนื่องกับอินเทอร์เน็ตเพื่อดาวน์โหลดมัลแวร์อื่น สื่อสารกับเซิร์ฟเวอร์ของผู้โจมตี
“USB เป็นอันตรายและไม่ควรได้รับอนุญาต” Dr. Magda Chelly หัวหน้าเจ้าหน้าที่รักษาความปลอดภัยข้อมูลของ Responsible Cyber กล่าว “มันเป็นช่องทางให้มัลแวร์สามารถแพร่กระจายจากคอมพิวเตอร์เครื่องหนึ่งไปยังอีกเครื่องหนึ่งได้อย่างง่ายดาย ด้วยเหตุนี้จึงเป็นสิ่งสำคัญมากที่จะต้องติดตั้งซอฟต์แวร์ความปลอดภัยที่ทันสมัยในคอมพิวเตอร์ของคุณ และอย่าเสียบ USB ที่คุณไม่เชื่อถือ”
ในการแลกเปลี่ยนอีเมลกับ Lifewire, Simon Hartley, CISSP และผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กับ Quantinuum กล่าวว่าไดรฟ์ USB เป็นส่วนหนึ่งของการค้าขายที่ฝ่ายตรงข้ามใช้เพื่อทำลายความปลอดภัยที่เรียกว่า "ช่องว่างอากาศ" กับระบบที่ไม่ได้เชื่อมต่อกับสาธารณะ อินเตอร์เน็ต
“พวกมันถูกแบนอย่างสมบูรณ์ในสภาพแวดล้อมที่ละเอียดอ่อนหรือต้องการการควบคุมและการตรวจสอบพิเศษเนื่องจากมีความเป็นไปได้ในการเพิ่มหรือลบข้อมูลในลักษณะที่เปิดเผยรวมถึงการแนะนำมัลแวร์ที่ซ่อนอยู่” Hartley แชร์
แรงจูงใจไม่สำคัญ
Melissa Bischoping ผู้เชี่ยวชาญด้าน Endpoint Security Research Specialist ที่ Tanium บอกกับ Lifewire ทางอีเมลว่าแม้การทำความเข้าใจแรงจูงใจของมัลแวร์อาจช่วยได้ แต่นักวิจัยมีความสามารถหลายอย่างในการวิเคราะห์พฤติกรรมและสิ่งประดิษฐ์ที่มัลแวร์ทิ้งไว้เบื้องหลัง เพื่อสร้างความสามารถในการตรวจจับ
“ในขณะที่แรงจูงใจในการทำความเข้าใจสามารถเป็นเครื่องมือที่มีค่าสำหรับการสร้างแบบจำลองภัยคุกคามและการวิจัยเพิ่มเติม การไม่มีสติปัญญานั้นไม่ได้ทำให้คุณค่าของสิ่งประดิษฐ์ที่มีอยู่และความสามารถในการตรวจจับเป็นโมฆะ” Bischoping อธิบาย
Kumar Saurabh ซีอีโอและผู้ร่วมก่อตั้ง LogicHub เห็นด้วย เขาบอกกับ Lifewire ทางอีเมลว่าการพยายามทำความเข้าใจเป้าหมายหรือแรงจูงใจของแฮ็กเกอร์ทำให้เกิดข่าวที่น่าสนใจ แต่ก็ไม่มีประโยชน์อะไรมากในแง่ของความปลอดภัย
Saurabh เพิ่มมัลแวร์ Raspberry Robin ที่มีคุณลักษณะทั้งหมดของการโจมตีที่เป็นอันตราย รวมถึงการเรียกใช้โค้ดจากระยะไกล การคงอยู่ และการหลีกเลี่ยง ซึ่งเป็นหลักฐานเพียงพอที่จะส่งเสียงเตือน และดำเนินการเชิงรุกเพื่อควบคุมการแพร่กระจาย
"จำเป็นสำหรับทีมรักษาความปลอดภัยในโลกไซเบอร์ที่จะดำเนินการทันทีที่พวกเขาตรวจพบการโจมตีในช่วงต้น” Saurabh เน้น “ถ้าคุณรอที่จะเข้าใจเป้าหมายหรือแรงจูงใจสูงสุด เช่น แรนซัมแวร์ การขโมยข้อมูล หรือ บริการขัดข้อง คงจะสายเกินไปแล้ว"
