Conclusiones clave
- Los investigadores de ciberseguridad han encontrado un nuevo malware, pero no pueden desentrañar sus objetivos.
- Comprender el final del juego ayuda pero no es importante para frenar su propagación, sugieren otros expertos.
- Se recomienda a las personas que no conecten unidades extraíbles desconocidas en sus PC, ya que el malware se propaga a través de discos USB infectados.
Hay un nuevo malware de Windows circulando, pero nadie está seguro de sus intenciones.
Investigadores de ciberseguridad de Red Canary descubrieron recientemente un nuevo malware similar a un gusano al que llamaron Raspberry Robin, que se propaga a través de unidades USB infectadas. Si bien han podido observar y estudiar el funcionamiento del malware, aún no han podido descubrir su propósito final.
"[Raspberry Robin] es una historia interesante cuyo perfil de amenaza final aún no se ha determinado ", Tim Helming, evangelista de seguridad de DomainTools, le dijo a Lifewire por correo electrónico. "Hay demasiadas incógnitas para presionar el botón de pánico, pero es un buen recordatorio de que crear detecciones sólidas y tomar medidas de seguridad de sentido común nunca ha sido más importante".
Disparos en la oscuridad
Comprender el objetivo final de un malware ayuda a evaluar su nivel de riesgo, explicó Helming.
Por ejemplo, a veces, los dispositivos comprometidos, como los dispositivos de almacenamiento conectados a la red de QNAP en el caso de Raspberry Robin, se reclutan en botnets a gran escala para montar campañas de denegación de servicio distribuida (DDoS). O bien, los dispositivos comprometidos podrían usarse para extraer criptomonedas.
En ambos casos, no habría una amenaza inmediata de pérdida de datos en los dispositivos infectados. Sin embargo, si Raspberry Robin está ayudando a ensamblar una botnet de ransomware, entonces el nivel de riesgo para cualquier dispositivo infectado y la red de área local a la que está conectado podría ser extremadamente alto, dijo Helming.
Félix Aimé, investigador de seguridad e inteligencia de amenazas en Sekoia, le dijo a Lifewire a través de mensajes directos de Twitter que tales "brechas de inteligencia" en el análisis de malware no son desconocidas en la industria. Sin embargo, agregó que es preocupante que Raspberry Robin esté siendo detectada por varios otros medios de seguridad cibernética (Sekoia lo rastrea como el gusano Qnap), lo que le dice que la botnet que el malware está tratando de construir es bastante grande y quizás podría incluir "cientos de miles de hosts comprometidos.”
Lo fundamental en la saga Raspberry Robin para Sai Huda, CEO de la empresa de ciberseguridad CyberCatch, es el uso de unidades USB, que instalan de forma encubierta el malware que luego crea una conexión persistente a Internet para descargar otro malware que luego se comunica con los servidores del atacante.
“Los dispositivos USB son peligrosos y no deben permitirse”, enfatizó la Dra. Magda Chelly, directora de seguridad de la información de Responsible Cyber. “Proporcionan una forma de que el malware se propague fácilmente de una computadora a otra. Por eso es tan importante tener instalado un software de seguridad actualizado en su computadora y nunca conectar un USB en el que no confíe.”
En un intercambio de correo electrónico con Lifewire, Simon Hartley, CISSP y un experto en seguridad cibernética de Quantinuum dijeron que las unidades USB son parte del oficio que los adversarios usan para romper la llamada seguridad de "brecha de aire" en sistemas que no están conectados al público internet.
“Están completamente prohibidos en entornos confidenciales o requieren controles y verificaciones especiales debido a la posibilidad de agregar o eliminar datos de manera abierta, así como de introducir malware oculto”, compartió Hartley.
El motivo no es importante
Melissa Bischoping, especialista en investigación de seguridad de endpoints en Tanium, le dijo a Lifewire por correo electrónico que si bien comprender el motivo de un malware puede ayudar, los investigadores tienen múltiples capacidades para analizar el comportamiento y los artefactos que el malware deja atrás, para crear capacidades de detección.
“Si bien comprender el motivo puede ser una herramienta valiosa para el modelado de amenazas y la investigación adicional, la ausencia de esa inteligencia no invalida el valor de los artefactos existentes y las capacidades de detección”, explicó Bischoping.
Kumar Saurabh, CEO y cofundador de LogicHub, estuvo de acuerdo. Le dijo a Lifewire por correo electrónico que tratar de comprender el objetivo o los motivos de los piratas informáticos genera noticias interesantes, pero no es muy útil desde una perspectiva de seguridad.
Saurabh agregó que el malware Raspberry Robin tiene todas las características de un ataque peligroso, incluida la ejecución remota de código, la persistencia y la evasión, lo cual es evidencia suficiente para hacer sonar la alarma y tomar medidas agresivas para frenar su propagación.
"Es imperativo que los equipos de ciberseguridad actúen tan pronto como detecten los primeros precursores de un ataque", enfatizó Saurabh. "Si espera a comprender el objetivo final o los motivos, como ransomware, robo de datos o interrupción del servicio, probablemente sea demasiado tarde".
