Come identificare il worm Windows che sta distribuendo ransomware • The Register

Raspberry Robin, un worm che si diffonde ai sistemi Windows tramite unità USB, si è evoluto rapidamente: ora l’accesso backdoor viene venduto o offerto alle macchine infette in modo che il ransomware, tra l’altro codice, possa essere installato dai criminali informatici.

In un rapporto giovedì, l’unità Security Threat Intelligence di Microsoft ha affermato che Raspberry Robin “ora fa parte di un ecosistema di malware complesso e interconnesso” con collegamenti ad altre famiglie di codice dannoso e legami con infezioni ransomware.

In definitiva, Raspberry Robin appare per la prima volta come uno strano worm che si diffonde da PC a PC senza uno scopo chiaro. Ora, chiunque controlli il malware sembra utilizzarlo per offrire accesso a macchine infette in modo che altri software dannosi possano essere implementati, come il ransomware, da altri malfattori.

“La catena di infezione di Raspberry Robin è una mappa confusa e complessa di più punti di infezione che può portare a molti risultati diversi, anche in situazioni in cui due host vengono infettati contemporaneamente”, hanno scritto i ricercatori Microsoft.

“Sono coinvolti molti componenti; differenziarli può essere difficile perché gli aggressori dietro la minaccia hanno fatto di tutto per proteggere il malware in ogni fase con meccanismi di caricamento complessi”.

Secondo i dati raccolti dallo strumento Defender for Endpoint di Microsoft, quasi 3.000 dispositivi in ​​circa 1.000 organizzazioni hanno riscontrato almeno un avviso relativo a un payload dannoso correlato a Raspberry Robin negli ultimi 30 giorni.

“Raspberry Robin si è evoluto dall’essere un worm ampiamente distribuito senza azioni post-infezione osservate quando Red Canary lo ha segnalato per la prima volta nel maggio 2022, a una delle più grandi piattaforme di distribuzione di malware attualmente attive”, hanno scritto.

I ricercatori di Red Canary hanno osservato per la prima volta le attività di Raspberry Robin nel settembre 2021. Il malware è un worm che viene generalmente installato tramite un dispositivo USB rimovibile e utilizza server di archiviazione QNAP compromessi per il server C2 (comandi e controllo) di backend.

Una chiavetta USB infetta da Raspberry Robin contiene un file .lnk che sembra una cartella legittima. O l’unità è configurata per eseguire automaticamente quel file, che le organizzazioni possono bloccare, oppure l’utente viene indotto con l’inganno a fare doppio clic sul file di collegamento. Quel file .lnk esegue comandi per recuperare ed eseguire da un server C2 il codice malware principale sul PC della vittima.

Vedi il post di Microsoft sopra per i dettagli tecnici su come rilevare un’intrusione di Raspberry Robin. Un PC è infetto dopo aver inserito l’unità USB e/o eseguito il file .lnk. Tuttavia, alcune infezioni si sono verificate senza un file di collegamento e un’unità USB, indicando che esiste più di un modo per catturare Raspberry Robin.

È solo peggio

Microsoft, IBM e Cisco stanno monitorando Raspberry Robin e la sua evoluzione. Due mesi dopo il rapporto di Red Canary, Microsoft ha scoperto che Raspberry Robin, rintracciato dal gigante IT come DEV-0856, installava su computer compromessi il malware backdoor FakeUpdates (noto anche come SocGolish), utilizzato anche da Evil Corp, un gruppo di criminalità informatica russa rintracciato da Microsoft come DEV-0243 diffondendo il trojan bancario Dridex.

Raspberry Robin è stato utilizzato anche per distribuire IdedID (o trojan bancario BokBot), il caricatore di malware Bumblebee e il trojan Truebot. Secondo gli analisti Microsoft, gli scemi gli hanno anche ordinato di eseguire il ransomware LockBit e ora il ransomware Clop su macchine dirottate.

La situazione peggiora. Questo mese, Microsoft ha individuato il Raspberry Robin utilizzato da un equipaggio tracciato come DEV-0950, che si sovrappone a bande etichettate come FIN11 e TA505. Dopo che Raspberry Robin ha infettato un PC, DEV-0950 lo usa per eseguire Cobalt Strike – e occasionalmente Truebot – secondo Microsoft. Alla fine, Clop viene eseguito sul computer della vittima. Raspberry Robin è stato un vantaggio per questi malfattori, secondo i ricercatori Microsoft.

“DEV-0950 ha tradizionalmente utilizzato il phishing per catturare la maggior parte delle loro vittime, quindi questo drammatico cambiamento nell’uso di Raspberry Robin consente loro di fornire payload alle infezioni esistenti e di spostare più rapidamente le loro campagne in fasi di ransomware”, hanno scritto.

“A causa della natura interconnessa dell’economia della criminalità informatica, è possibile che gli attori dietro queste campagne di malware relative a Raspberry Robin – spesso distribuite attraverso altri mezzi come annunci dannosi o e-mail – stiano pagando gli operatori di Raspberry Robin per installazioni di malware”.

A luglio Microsoft ha scoperto che Fauppod, il malware distribuito da un altro gruppo chiamato DEV-0651 da Azure e Discord, aveva un codice simile a Raspberry Robin. Ha anche fornito le backdoor di FakeUpdates.

Security X-Force di IBM a settembre ha trovato altri collegamenti tra Raspberry Robin e Dridex, comprese somiglianze nella struttura e nella funzionalità, tra la DLL Raspberry Robin e un caricatore di malware Dridex.

“Quindi, la ricerca di IBM Security trova un altro collegamento tra le infezioni di Raspberry Robin e il gruppo di criminali informatici con sede in Russia ‘Evil Corp’, lo stesso gruppo dietro Dridex Malware, suggerendo che Evil Corp stia probabilmente utilizzando l’infrastruttura Raspberry Robin per effettuare questi attacchi”, ha scritto Kevin Henson, un reverse engineer di malware, ed Emmy Ebanks, un risponditore di minacce informatiche, con IBM.

Si prevede che il malware continuerà a diventare una minaccia più pericolosa, secondo Microsoft.

“Mentre il Raspberry Robin sembrava senza scopo quando è stato scoperto per la prima volta, si è evoluto e sta per esercitare un effetto potenzialmente devastante sugli ambienti in cui è ancora installato”, hanno scritto gli analisti.

“Raspberry Robin probabilmente continuerà a svilupparsi e porterà a una maggiore distribuzione di malware e relazioni tra i gruppi di attività dei criminali informatici man mano che la sua installazione cresce”. ®

Leave a Reply

Your email address will not be published. Required fields are marked *