Microsoft advierte que el gusano relativamente nuevo de la unidad USB Raspberry Robin ha activado alertas de carga útil en casi 3000 dispositivos en casi 1000 organizaciones en los últimos 30 días.
El malware Raspberry Robin se ha visto previamente instalado con el malware FakeUpdates, que se ha relacionado con el grupo ruso de ciberdelincuencia EvilCorp.
Raspberry Robin también se ha utilizado para implementar el ransomware Lockbit, así como el malware IcedID, Bumblebee y Truebot.
Ahora, Microsoft ha visto que se usa para implementar el ransomware Clop.
Microsoft atribuye las implementaciones de Clop relacionadas con el uso de Raspberry Robin a un grupo al que rastrea como DEV-0950.
Sus actividades se superponen con los grupos de piratería avanzada rastreados por FireEye como FIN11.
El año pasado, el grupo publicó los datos de sus víctimas en el sitio de fugas de ransomware Clop.
"DEV-0950 tradicionalmente usa phishing para adquirir a la mayoría de sus víctimas, por lo que este cambio notable al uso de Raspberry Robin les permite entregar cargas útiles a infecciones existentes y mover sus campañas más rápidamente a etapas de ransomware", señala el Centro de inteligencia de amenazas de seguridad de Microsoft ( MTIC).
La firma de seguridad Red Canary descubrió el gusano Raspberry Robin en septiembre de 2021 y dijo que a menudo se instalaba en sistemas a través de una unidad USB, que contiene un archivo de acceso directo LNK disfrazado de carpeta.
El malware se basa en que las víctimas inserten una unidad USB para ejecutarse.
Si bien la ejecución automática de medios extraíbles está deshabilitada de forma predeterminada en Windows, Microsoft señala que muchas organizaciones la habilitan a través de cambios heredados en la Política de grupo.
MSTIC descubrió que Raspberry Robin se basa tanto en la ejecución automática como en engañar a los usuarios para que hagan clic en el archivo LINK.
"Algunas unidades de Raspberry Robin solo tienen el LNK y los archivos ejecutables, mientras que las unidades de infecciones anteriores tienen un autorun.
inf configurado", señala MSTIC.
Este cambio podría explicar por qué los nombres de los archivos de acceso directo cambiaron de nombres más genéricos como recovery.
lnk a nombres de marcas de unidades USB.
Microsoft sospecha que esto es para alentar a un usuario a ejecutar el archivo LNK.
También hace un llamado a los dispositivos de almacenamiento QNAP comprometidos para entregar una carga útil maliciosa.
"El archivo LNK de Raspberry Robin apunta a cmd.
exe para iniciar el servicio de Windows Installer msiexec.
exe e instalar una carga útil maliciosa alojada en dispositivos de almacenamiento conectado a la red (NAS) QNAP comprometidos", explica MSTIC.
A partir de julio, FakeUpdates, una puerta trasera de JavaScript, recurrió a Raspberry Robin para la entrega, lo que se sumó a los anuncios maliciosos que se usaban anteriormente para la entrega.
Microsoft ha encontrado algunas conexiones entre Raspberry Robin y otra pieza de malware llamada Fauppod, que también comunica dispositivos QNAP comprometidos.
Fauppod es una pieza de malware muy ofuscada escrita en .
NET.
Microsoft cree que Fauppod es parte del método inicial por el cual Raspberry Robin infecta las máquinas.
"Según nuestra investigación, Microsoft evalúa actualmente con confianza media que las DLL de .
NET anteriores entregadas tanto por infecciones de Raspberry Robin LNK como por muestras de Fauppod CPL son responsables de la propagación de archivos Raspberry Robin LNK a unidades USB".
"Estos archivos LNK, a su vez, infectan a otros hosts a través de la cadena de infección detallada en el blog de Red Canary".
"Microsoft también evalúa con confianza media que las muestras de CPL empaquetadas con Fauppod son actualmente el punto más antiguo conocido en la cadena de ataque para propagar las infecciones de Raspberry Robin a los objetivos".
Twitter para mantenerte informado.
Síguenos en Facebook y entérate de las noticias trend de la semana
No hay comentarios.:
Publicar un comentario