Da asporto chiave
- I ricercatori sulla sicurezza informatica hanno trovato un nuovo malware, ma non riescono a svelarne gli obiettivi.
- Capire l'endgame aiuta ma non è importante per frenarne la diffusione, suggeriscono altri esperti.
- Si consiglia alle persone di non collegare unità rimovibili sconosciute ai propri PC, poiché il malware si diffonde tramite dischi USB infetti.
C'è un nuovo malware per Windows in giro, ma nessuno è sicuro delle sue intenzioni.
I ricercatori di Cybersecurity di Red Canary hanno recentemente scoperto un nuovo malware simile a un worm che hanno soprannominato Raspberry Robin, che si diffonde tramite unità USB infette. Sebbene siano stati in grado di osservare e studiare il funzionamento del malware, non sono ancora stati in grado di capirne lo scopo finale.
"[Raspberry Robin] è una storia interessante il cui profilo di minaccia definitivo deve ancora essere determinato", ha detto a Lifewire via e-mail Tim Helming, security evangelist di DomainTools. "Ci sono troppe incognite per premere il pulsante antipanico, ma è un buon promemoria che la creazione di rilevamenti efficaci e l'adozione di misure di sicurezza di buon senso non sono mai stati così importanti."
Riprese nell'oscurità
Capire l'obiettivo finale di un malware aiuta a valutarne il livello di rischio, ha spiegato Helming.
Ad esempio, i dispositivi a volte compromessi, come i dispositivi di archiviazione collegati alla rete QNAP nel caso di Raspberry Robin, vengono reclutati in botnet su larga scala per montare campagne DDoS (Distributed Denial of Service). Oppure, i dispositivi compromessi potrebbero essere utilizzati per il mining di criptovaluta.
In entrambi i casi, non ci sarebbe una minaccia immediata di perdita di dati per i dispositivi infetti. Tuttavia, se Raspberry Robin sta aiutando a assemblare una botnet ransomware, il livello di rischio per qualsiasi dispositivo infetto e la rete locale a cui è collegato potrebbero essere estremamente elevati, ha affermato Helming.
Félix Aimé, ricercatore di intelligence sulle minacce e sicurezza di Sekoia, ha dichiarato a Lifewire tramite DM di Twitter che tali "lacune di intelligence" nell'analisi del malware non sono inaudite nel settore. In modo preoccupante, tuttavia, ha aggiunto che Raspberry Robin viene rilevato da diversi altri punti vendita di sicurezza informatica (Sekoia lo segue come il worm Qnap), il che gli dice che la botnet che il malware sta cercando di costruire è piuttosto grande e potrebbe forse includere "centomila di host compromessi.”
La cosa fondamentale nella saga di Raspberry Robin per Sai Huda, CEO della società di sicurezza informatica CyberCatch, è l'uso di unità USB, che installa di nascosto il malware che crea una connessione persistente a Internet per scaricare un altro malware che poi comunica con i server dell'attaccante.
"Le USB sono pericolose e non dovrebbero essere consentite", ha sottolineato la dott.ssa Magda Chelly, Chief Information Security Officer, presso Responsible Cyber. “Offrono un modo per diffondere facilmente il malware da un computer all' altro. Questo è il motivo per cui è così importante avere un software di sicurezza aggiornato installato sul tuo computer e non collegare mai una USB di cui non ti fidi.”
In uno scambio di e-mail con Lifewire, Simon Hartley, CISSP e un esperto di sicurezza informatica di Quantinuum hanno affermato che le unità USB fanno parte del mestiere che gli avversari utilizzano per violare la cosiddetta sicurezza "air gap" per i sistemi non collegati al pubblico internet.
"Sono completamente banditi in ambienti sensibili o richiedono controlli e verifiche speciali a causa della possibilità di aggiungere o rimuovere dati in modi palesi e di introdurre malware nascosto", ha condiviso Hartley.
Il motivo non è importante
Melissa Bischoping, Endpoint Security Research Specialist presso Tanium, ha detto a Lifewire via e-mail che, sebbene la comprensione del motivo di un malware possa essere d'aiuto, i ricercatori hanno molteplici capacità per analizzare il comportamento e gli artefatti che il malware lascia dietro di sé, per creare capacità di rilevamento.
"Sebbene la comprensione del movente possa essere uno strumento prezioso per la modellazione delle minacce e ulteriori ricerche, l'assenza di tale intelligence non invalida il valore degli artefatti e delle capacità di rilevamento esistenti", ha spiegato Bischoping.
Kumar Saurabh, CEO e co-fondatore di LogicHub, è d'accordo. Ha detto a Lifewire via e-mail che cercare di capire l'obiettivo o le motivazioni degli hacker offre notizie interessanti, ma non è molto utile dal punto di vista della sicurezza.
Saurabh ha aggiunto che il malware Raspberry Robin ha tutte le caratteristiche di un attacco pericoloso, inclusa l'esecuzione di codice in remoto, la persistenza e l'evasione, che sono prove sufficienti per lanciare l'allarme e intraprendere azioni aggressive per frenarne la diffusione.
"È fondamentale che i team di sicurezza informatica agiscano non appena individuano i primi precursori di un attacco", ha sottolineato Saurabh. "Se aspetti di capire l'obiettivo finale o i motivi, come ransomware, furto di dati o interruzione del servizio, probabilmente sarà troppo tardi."