Key Takeaway
- Penyelidik Keselamatan Siber telah menemui perisian hasad baharu, tetapi tidak dapat merungkai objektifnya.
- Memahami permainan akhir membantu tetapi tidak penting untuk mengekang penyebarannya, cadangkan pakar lain.
- Orang ramai dinasihatkan supaya tidak memasang pemacu boleh tanggal yang tidak diketahui dalam PC mereka, kerana perisian hasad merebak melalui cakera USB yang dijangkiti.
Terdapat perisian hasad Windows baharu yang sedang berpusing, tetapi tiada siapa yang pasti akan niatnya.
Penyelidik keselamatan siber dari Red Canary baru-baru ini menemui perisian hasad seperti cacing baharu yang mereka namakan sebagai Raspberry Robin, yang merebak melalui pemacu USB yang dijangkiti. Walaupun mereka telah dapat memerhati dan mengkaji kerja perisian hasad, mereka masih belum dapat mengetahui tujuan utamanya.
"[Raspberry Robin] ialah cerita menarik yang profil ancaman muktamadnya masih belum ditentukan, " Tim Helming, penginjil keselamatan dengan DomainTools, memberitahu Lifewire melalui e-mel. "Terdapat terlalu banyak perkara yang tidak diketahui untuk menekan butang panik, tetapi ini adalah peringatan yang baik bahawa membina pengesanan yang kuat, dan mengambil langkah keselamatan akal, tidak pernah menjadi lebih penting."
Merakam Dalam Gelap
Memahami objektif utama perisian hasad membantu menilai tahap risikonya, jelas Helming.
Sebagai contoh, kadangkala peranti yang terjejas, seperti peranti storan yang dilampirkan rangkaian QNAP dalam kes Raspberry Robin, direkrut ke dalam botnet berskala besar untuk memasang kempen penafian perkhidmatan (DDoS) teragih. Atau, peranti yang terjejas boleh digunakan untuk perlombongan mata wang kripto.
Dalam kedua-dua kes, tidak akan ada ancaman kehilangan data serta-merta kepada peranti yang dijangkiti. Walau bagaimanapun, jika Raspberry Robin membantu memasang botnet perisian tebusan, maka tahap risiko untuk mana-mana peranti yang dijangkiti, dan rangkaian kawasan setempat yang dilampirkan padanya, boleh menjadi sangat tinggi, kata Helming.
Félix Aimé, penyelidik Perisikan dan keselamatan ancaman di Sekoia memberitahu Lifewire melalui DM Twitter bahawa "jurang perisikan" sedemikian dalam analisis perisian hasad tidak pernah didengari dalam industri. Walau bagaimanapun, yang membimbangkan, dia menambah bahawa Raspberry Robin sedang dikesan oleh beberapa cawangan keselamatan siber lain (Sekoia menjejakinya sebagai cecacing Qnap), yang memberitahunya bahawa botnet yang cuba dibina oleh perisian hasad adalah agak besar, dan mungkin termasuk “ratusan ribu daripada hos yang terjejas.”
Perkara kritikal dalam saga Raspberry Robin untuk Sai Huda, Ketua Pegawai Eksekutif syarikat keselamatan siber CyberCatch, ialah penggunaan pemacu USB, yang secara rahsia memasang perisian hasad yang kemudiannya mewujudkan sambungan berterusan ke internet untuk memuat turun perisian hasad lain yang kemudiannya berkomunikasi dengan pelayan penyerang.
“USB adalah berbahaya dan tidak sepatutnya dibenarkan,” tegas Dr. Magda Chelly, Ketua Pegawai Keselamatan Maklumat, di Responsible Cyber. “Mereka menyediakan cara untuk perisian hasad merebak dengan mudah dari satu komputer ke komputer lain. Inilah sebabnya mengapa sangat penting untuk memasang perisian keselamatan terkini pada komputer anda dan jangan sekali-kali memasangkan USB yang anda tidak percayai.”
Dalam pertukaran e-mel dengan Lifewire, Simon Hartley, CISSP dan pakar keselamatan siber dengan Quantinuum berkata pemacu USB adalah sebahagian daripada tradecraft yang digunakan musuh untuk memecahkan apa yang dipanggil keselamatan "jurang udara" kepada sistem yang tidak disambungkan kepada orang ramai internet.
“Ia sama ada diharamkan secara langsung dalam persekitaran yang sensitif atau memerlukan kawalan dan pengesahan khas kerana potensi untuk menambah atau mengalih keluar data secara terang-terangan serta memperkenalkan perisian hasad tersembunyi,” kongsi Hartley.
Motif Tidak Penting
Melissa Bischoping, Pakar Penyelidikan Keselamatan Endpoint di Tanium, memberitahu Lifewire melalui e-mel bahawa walaupun memahami motif perisian hasad boleh membantu, penyelidik mempunyai pelbagai keupayaan untuk menganalisis tingkah laku dan artifak yang ditinggalkan perisian hasad, untuk mencipta keupayaan pengesanan.
“Walaupun memahami motif boleh menjadi alat yang berharga untuk pemodelan ancaman dan penyelidikan lanjut, ketiadaan kecerdasan itu tidak membatalkan nilai artifak sedia ada dan keupayaan pengesanan,” jelas Bischoping.
Kumar Saurabh, Ketua Pegawai Eksekutif dan pengasas bersama LogicHub, bersetuju. Dia memberitahu Lifewire melalui e-mel bahawa cuba memahami matlamat atau motif penggodam menghasilkan berita yang menarik, tetapi tidak begitu berguna dari perspektif keselamatan.
Saurabh menambah perisian hasad Raspberry Robin mempunyai semua ciri serangan berbahaya, termasuk pelaksanaan kod jauh, ketekunan dan pengelakan, yang merupakan bukti yang cukup untuk membunyikan penggera dan mengambil tindakan agresif untuk mengekang penyebarannya.
"Adalah mustahak bagi pasukan keselamatan siber mengambil tindakan sebaik sahaja mereka melihat pelopor awal serangan," tegas Saurabh. "Jika anda menunggu untuk memahami matlamat atau motif utama, seperti perisian tebusan, pencurian data atau gangguan perkhidmatan, mungkin sudah terlambat."
