Informācijas tehnoloģiju drošības incidentu novēršanas institūcija (CERT.LV) pēdējā mēneša laikā ir konstatējusi vismaz 5 izglītības iestādes, kā arī vairākus uzņēmumus un valsts iestādes, kuru tīklā novērota Raspberry Robin ļaunatūras klātbūtne. Minētais vīruss pamatā izplatās salīdzinoši primitīvā veidā – ar inficētu ārējo datu nesēju starpniecību, tādējādi īpaši apdraudot koplietošanas datorus, piemēram, lielajās mācību auditorijās, kur prezentāciju failus šādā veidā katru nedēļu augšupielādē gan pasniedzēji, gan studenti.
Kas ir Raspberry Robin ļaunatūra?
Raspberry Robin ir tā saucamais datortārps, kas galvenokārt skar Windows operētājsistēmu, un izplatās ar ārējo datu nesēju, piemēram, USB zibatmiņu starpniecību. Globāli Rasberry Robin pirmo reizi tika identificēts pērnā gada septembrī, un to atklāja IT drošības kompānija “Red Canary”. Vīruss ārējos datu nesējos glabājas kā Windows .lnk saīsnes fails, un maskējas, faila nosaukumā ievietojot konkrētā datu nesēja ražotāja nosaukumu.
Vīruss var tikt aktivizēts, gan lietotājam pašam uzspiežot uz .lnk faila datu nesējā, gan automātiski caur Windows autorun funkciju, datu nesēju pievienojot iekārtai.
Minēto ļaunatūru bīstamu padara tas, ka viens no tās mērķiem ir izveidot sarežģītu un savstarpēji saistītu ļaunatūru ekosistēmu jeb Raspberry Robin ļaunatūra nodrošina arī citu ļaunatūru augšupielādi iekārtā. Tie var būt gan šifrējošie izspiedējvīrusi, gan paroļu zagļi utt. Raspberry Robin savā veidā var salīdzināt ar “slepeno pazemes tuneli” zem jūsu mājokļa, pa kuru periodiski jūsu viesistabā var tikt ielaisti bīstami ciemiņi, jums nezinot. Turklāt šī slepenā tuneļa koordinātas un pieeja tam var tikt pārdota aizvien jauniem klientiem, kas izrādījuši interesi par jūsu privāto dzīvi.
Ieteikumi un padomi, kā sevi pasargāt?
Minētā vīrusa izplatības tempi atklāj kompleksu problēmu, kam ir nepieciešams komplekss risinājums – ietverot gan uzlabojumus izglītības iestāžu IT sistēmu monitoringā, gan izglītojot lietotājus. Zemāk tiek piedāvāti gan ilgtermiņa, gan īstermiņa risinājumi, kas var palīdzēt ierobežot šādu ļaunatūru izplatību.
Piedāvātie ilgtermiņa risinājumi IT sistēmu administratoriem:
- Konfigurēt antivīrusa risinājumu tā, lai tas skenētu arī iekārtai pievienotus ārējos datu nesējus – bieži vien pēc noklusējuma šī funkcionalitāte ir izslēgta. Ja tiek izmantots Microsoft Defender antivīrusa risinājumu, tad sīkāka informācija būs pieejama šeit: https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/configure-advanced-scan-types-microsoft-defender-antivirus?view=o365-worldwide
- Izslēgt AutoRun funkcionalitāti. Tādā veidā, brīdī, kad iekārtai tiek pievienots ārējs datu nesējs, AutoRun komandas netiks automātiski izpildītas, tomēr tas nepasargā no tā, ka lietotājs pats var uzklikšķināt uz kāda no inficētājiem failiem datu nesējā. Papildu informācija, kā izslēgt AutoRun, piemēram, ar grupu politikas palīdzību, pieejama šeit: https://www.stigviewer.com/stig/windows_server_2016/2019-07-09/finding/V-73547
- Ja tiek izmantots Microsoft Defender antivīruss, ieteicams iespējot sekojošas Microsoft Defender ASR (Attack surface reduction) kārtulas:
- Block untrusted and unsigned processes that run from USB
- Block execution of potentially obfuscated scripts
- Block executable files from running unless they meet a prevalence, age, or trusted list criterion
- Block credential stealing from the Windows local security authority subsystem (lsass.exe)
Tāpat jebkurai iestādei bez maksas pieejams arī CERT.LV un NIC.LV izstrādātais DNS ugunsmūris (https://dnsmuris.lv/), kas var palīdzēt bloķēt ļaunatūru komunikāciju ar jau identificētiem kontrolcentriem, liedzot augšupielādēt citas ļaundabīgas programmatūras.
Kā viens no īstermiņa ieteikumiem pasniedzējiem un studentiem, kas informāciju koplietošanas iekārtās augšupielādē no ārējām zibatmiņām – būtu pāriešana uz kādu no pieejamajiem mākoņservisiem. Piemēram, prezentāciju varētu augšupielādēt failiem.lv un koplietošanas iekārtā atvērt iegūto prezentācijas saiti, lai lejupielādētu prezentāciju. Šādā veidā veiksmīgi tiek apieta nepieciešamība prezentāciju failu pārnešanai izmantot ārējos datu nesējus.
Kā pārliecināties, vai iekārta ir inficēta?
Viens no ieteikumiem būtu noskenēt iekārtu un datu nesēju ar atjauninātu antivīrusa programmu, jo šobrīd pasaulē lielākie antivīrusu ražotāji ir veiksmīgi iemācījušies atpazīt šo ļaunatūru. Ieteicams arī pārliecināties, ka ir instalēti aktuālie Windows operētājsistēmas atjauninājumi. Ja uz iekārtas tiek konstatēta Raspberry Robin ļaunatūras klātbūtne, ir visai ticams, ka uz iekārtas jau augšupielādētas arī citas ļaunatūras. Šādā gadījumā drošākais risinājums būtu pilnīga iekārtas pārinstalēšana, kā arī paroļu nomaiņa visiem resursiem, kas izmantoti uz šīs iekārtas.
Ja lietotājam trūkst pieredzes un zināšanu minēto darbību veikšanai – ieteicams apsvērt iespēju izmantot kompetenta IT speciālista palīdzību.
Vairāk par Raspberry Robin ļaunatūru un tās darbību:
https://redcanary.com/blog/raspberry-robin/
https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/