Clé à emporter
- Les chercheurs en cybersécurité ont découvert un nouveau malware, mais n'arrivent pas à démêler ses objectifs.
- Comprendre la phase finale aide mais n'est pas important pour freiner sa propagation, suggèrent d'autres experts.
- Il est conseillé aux gens de ne pas brancher de disques amovibles inconnus sur leur PC, car le logiciel malveillant se propage via des disques USB infectés.
Il y a un nouveau malware Windows qui fait le tour, mais personne n'est sûr de ses intentions.
Les chercheurs en cybersécurité de Red Canary ont récemment découvert un nouveau logiciel malveillant ressemblant à un ver qu'ils ont surnommé Raspberry Robin, qui se propage via des clés USB infectées. Bien qu'ils aient pu observer et étudier le fonctionnement du logiciel malveillant, ils n'ont pas encore été en mesure de comprendre son objectif ultime.
"[Raspberry Robin] est une histoire intéressante dont le profil de menace ultime reste à déterminer", a déclaré Tim Helming, évangéliste de la sécurité chez DomainTools, à Lifewire par e-mail. "Il y a trop d'inconnues pour appuyer sur le bouton de panique, mais c'est un bon rappel que la création de détections solides et la prise de mesures de sécurité de bon sens n'ont jamais été aussi importantes."
Tirer dans le noir
Comprendre l'objectif ultime d'un logiciel malveillant aide à évaluer son niveau de risque, a expliqué Helming.
Par exemple, des appareils parfois compromis, tels que les périphériques de stockage en réseau QNAP dans le cas de Raspberry Robin, sont recrutés dans des botnets à grande échelle pour monter des campagnes de déni de service distribué (DDoS). Ou, les appareils compromis pourraient être utilisés pour extraire de la crypto-monnaie.
Dans les deux cas, il n'y aurait pas de menace immédiate de perte de données sur les appareils infectés. Cependant, si Raspberry Robin aide à assembler un botnet ransomware, le niveau de risque pour tout appareil infecté et le réseau local auquel il est connecté pourrait être extrêmement élevé, a déclaré Helming.
Félix Aimé, chercheur en renseignement sur les menaces et en sécurité chez Sekoia, a déclaré à Lifewire via Twitter DM que de telles "lacunes d'intelligence" dans l'analyse des logiciels malveillants ne sont pas inconnues dans l'industrie. De manière inquiétante, cependant, il a ajouté que Raspberry Robin était détecté par plusieurs autres points de vente de cybersécurité (Sekoia le suit comme le ver Qnap), ce qui lui indique que le botnet que le logiciel malveillant tente de créer est assez volumineux et pourrait peut-être inclure "des centaines de milliers d'hôtes compromis. »
La chose critique dans la saga Raspberry Robin pour Sai Huda, PDG de la société de cybersécurité CyberCatch, est l'utilisation de clés USB, qui installe secrètement le malware qui crée ensuite une connexion persistante à Internet pour télécharger un autre malware qui ensuite communique avec les serveurs de l'attaquant.
"Les clés USB sont dangereuses et ne devraient pas être autorisées", a souligné le Dr Magda Chelly, responsable de la sécurité de l'information chez Responsible Cyber. « Ils permettent aux logiciels malveillants de se propager facilement d'un ordinateur à un autre. C'est pourquoi il est si important d'avoir un logiciel de sécurité à jour installé sur votre ordinateur et de ne jamais brancher une clé USB en laquelle vous n'avez pas confiance.
Dans un échange d'e-mails avec Lifewire, Simon Hartley, CISSP et un expert en cybersécurité chez Quantinuum a déclaré que les clés USB font partie de l'artisanat que les adversaires utilisent pour briser la sécurité dite "d'air gap" des systèmes non connectés au public internet.
"Ils sont soit carrément interdits dans les environnements sensibles, soit nécessitent des contrôles et des vérifications spéciaux en raison du potentiel d'ajout ou de suppression de données de manière manifeste ainsi que d'introduction de logiciels malveillants cachés", a partagé Hartley.
Le motif n'est pas important
Melissa Bischoping, spécialiste de la recherche sur la sécurité des terminaux chez Tanium, a déclaré à Lifewire par e-mail que bien que comprendre le motif d'un malware puisse aider, les chercheurs disposent de multiples capacités pour analyser le comportement et les artefacts laissés par le malware, afin de créer des capacités de détection.
« Bien que la compréhension du motif puisse être un outil précieux pour la modélisation des menaces et la poursuite des recherches, l'absence de ces renseignements n'invalide pas la valeur des artefacts et des capacités de détection existants », a expliqué Bischoping.
Kumar Saurabh, PDG et co-fondateur de LogicHub, est d'accord. Il a déclaré à Lifewire par e-mail qu'essayer de comprendre l'objectif ou les motivations des pirates constituait une nouvelle intéressante, mais n'était pas très utile du point de vue de la sécurité.
Saurabh a ajouté que le malware Raspberry Robin présente toutes les caractéristiques d'une attaque dangereuse, y compris l'exécution de code à distance, la persistance et l'évasion, ce qui est une preuve suffisante pour tirer la sonnette d'alarme et prendre des mesures agressives pour freiner sa propagation.
"Il est impératif que les équipes de cybersécurité agissent dès qu'elles repèrent les premiers signes précurseurs d'une attaque", a souligné Saurabh. "Si vous attendez pour comprendre l'objectif ultime ou les motifs, tels que les rançongiciels, le vol de données ou interruption de service, il sera probablement trop tard."
