Princípios importantes
- Cybersecurity Pesquisadores encontraram um novo malware, mas não conseguem desvendar seus objetivos.
- Entender o fim do jogo ajuda, mas não é importante para conter sua propagação, sugira outros especialistas.
- As pessoas são aconselhadas a não conectar unidades removíveis desconhecidas em seus PCs, pois o malware se espalha por meio de discos USB infectados.
Há um novo malware do Windows circulando, mas ninguém tem certeza de suas intenções.
Pesquisadores de segurança cibernética da Red Canary descobriram recentemente um novo malware semelhante a um worm que eles apelidaram de Raspberry Robin, que se espalha através de drives USB infectados. Embora tenham observado e estudado o funcionamento do malware, ainda não conseguiram descobrir seu objetivo final.
"[Raspberry Robin] é uma história interessante cujo perfil de ameaça final ainda não foi determinado", disse Tim Helming, evangelista de segurança do DomainTools, à Lifewire por e-mail. "Há muitas incógnitas para apertar o botão de pânico, mas é um bom lembrete de que construir detecções fortes e tomar medidas de segurança de bom senso nunca foi tão importante."
Tiro no escuro
Entender o objetivo final de um malware ajuda a avaliar seu nível de risco, explicou Helming.
Por exemplo, às vezes dispositivos comprometidos, como os dispositivos de armazenamento conectados à rede da QNAP no caso do Raspberry Robin, são recrutados em botnets de grande escala para montar campanhas de negação de serviço distribuída (DDoS). Ou os dispositivos comprometidos podem ser usados para minerar criptomoedas.
Em ambos os casos, não haveria uma ameaça imediata de perda de dados para os dispositivos infectados. No entanto, se o Raspberry Robin estiver ajudando a montar um botnet de ransomware, o nível de risco para qualquer dispositivo infectado e a rede de área local à qual ele está conectado pode ser extremamente alto, disse Helming.
Félix Aimé, pesquisador de segurança e inteligência de ameaças da Sekoia, disse à Lifewire por meio de mensagens diretas no Twitter que essas “lacunas de inteligência” na análise de malware não são inéditas no setor. Preocupante, no entanto, ele acrescentou que o Raspberry Robin está sendo detectado por vários outros meios de segurança cibernética (Sekoia o rastreia como o worm Qnap), o que lhe diz que o botnet que o malware está tentando construir é bastante grande e talvez possa incluir “cem mil de hosts comprometidos.”
A coisa crítica na saga Raspberry Robin para Sai Huda, CEO da empresa de segurança cibernética CyberCatch, é o uso de drives USB, que instalam secretamente o malware que cria uma conexão persistente com a Internet para baixar outro malware que então se comunica com os servidores do invasor.
“USBs são perigosos e não devem ser permitidos”, enfatizou a Dra. Magda Chelly, Chief Information Security Officer, da Responsible Cyber. “Eles fornecem uma maneira de o malware se espalhar facilmente de um computador para outro. É por isso que é tão importante ter um software de segurança atualizado instalado em seu computador e nunca conectar um USB em que você não confia.”
Em uma troca de e-mail com a Lifewire, Simon Hartley, CISSP e um especialista em segurança cibernética da Quantinuum, disse que as unidades USB são parte do ofício que os adversários usam para quebrar a chamada segurança de “lacuna aérea” para sistemas não conectados ao público internet.
“Eles são totalmente banidos em ambientes sensíveis ou exigem controles e verificações especiais devido ao potencial de adicionar ou remover dados de maneira aberta, bem como introduzir malware oculto”, compartilhou Hartley.
O motivo não é importante
Melissa Bischoping, especialista em pesquisa de segurança de endpoints da Tanium, disse à Lifewire por e-mail que, embora entender o motivo de um malware possa ajudar, os pesquisadores têm vários recursos para analisar o comportamento e os artefatos que o malware deixa para trás, para criar recursos de detecção.
“Embora entender o motivo possa ser uma ferramenta valiosa para modelagem de ameaças e pesquisas adicionais, a ausência dessa inteligência não invalida o valor dos artefatos e recursos de detecção existentes”, explicou Bischoping.
Kumar Saurabh, CEO e cofundador da LogicHub, concordou. Ele disse à Lifewire por e-mail que tentar entender o objetivo ou os motivos dos hackers gera notícias interessantes, mas não é muito útil do ponto de vista da segurança.
Saurabh acrescentou que o malware Raspberry Robin tem todas as características de um ataque perigoso, incluindo execução remota de código, persistência e evasão, o que é evidência suficiente para soar o alarme e tomar ações agressivas para conter sua disseminação.
"É imperativo que as equipes de segurança cibernética tomem medidas assim que identificarem os primeiros precursores de um ataque”, enfatizou Saurabh. interrupção do serviço, provavelmente será tarde demais."
