Samstag, Dezember 3, 2022

Dieser Windows-Wurm hat sich zu Ransomware entwickelt. So erkennen Sie es

Raspberry Robin, ein Wurm, der sich über USB-Laufwerke auf Windows-Systemen verbreitet, hat sich rasant weiterentwickelt: Infizierten Rechnern wird nun Backdoor-Zugriff verkauft oder angeboten, damit unter anderem Ransomware von krimineller IT installiert werden kann.

In einem Bericht vom Donnerstag sagte die Security Threat Intelligence-Einheit von Microsoft, dass Raspberry Robin jetzt „Teil eines komplexen und miteinander verbundenen Malware-Ökosystems“ mit Verbindungen zu anderen Familien von bösartigem Code und Verbindungen zu Ransomware-Infektionen ist.

Schließlich erschien Raspberry Robin zunächst als seltsamer Wurm, der sich ohne ersichtlichen Zweck von PC zu PC ausbreitete. Wer auch immer die Malware kontrolliert, nutzt sie offenbar, um Zugriff auf infizierte Computer zu gewähren, damit andere Schadsoftware von anderen Angreifern wie Ransomware verbreitet werden kann.

„Die Infektionskette von Raspberry Robin ist eine verwirrende und komplizierte Karte mehrerer Infektionspunkte, die zu vielen unterschiedlichen Ergebnissen führen kann, selbst in Szenarien, in denen zwei Hosts gleichzeitig infiziert werden“, schreiben Microsoft-Forscher.

„Es sind zahlreiche Komponenten beteiligt, deren Unterscheidung möglicherweise schwierig ist, da die Angreifer hinter der Bedrohung große Anstrengungen unternommen haben, um die Malware in jeder Phase mit komplexen Lademechanismen zu sichern.“

Laut Daten, die von Microsofts Defender for Endpoint-Tool gesammelt wurden, haben fast 3.000 Geräte in etwa 1.000 Organisationen in den letzten 30 Tagen mindestens eine Warnung bezüglich einer bösartigen Raspberry Robin-Payload erhalten.

„Raspberry Robin hat sich von einem weit verbreiteten Wurm, bei dem keine Nachinfektionsaktionen beobachtet wurden, als Red Canary ihn erstmals im Mai 2022 meldete, zu einer der größten derzeit aktiven Malware-Verteilungsplattformen entwickelt“, schrieben sie.

Die Forscher von Red Canary beobachteten die Aktivitäten von Raspberry Robin erstmals im September 2021. Die Malware war ein Wurm, der typischerweise über ein USB-Wechselgerät installiert wurde und kompromittierte QNAP-Speicherserver für seine Command-and-Control-Backend-Server (C2) verwendete.

Ein mit Raspberry Robin infizierter USB-Stick enthält eine .lnk-Datei, die wie ein legitimer Ordner aussieht. Das Gerät kann so konfiguriert werden, dass es diese Datei automatisch ausführt, was Unternehmen blockieren können, oder der Benutzer wird dazu verleitet, auf die Verknüpfungsdatei zu doppelklicken. Diese .lnk-Datei führt dann Befehle zum Abrufen und Ausführen des wichtigsten Malware-Codes auf dem PC des Opfers von einem C2-Server aus.

Technische Details zur Erkennung eines Raspberry Robin-Einbruchs finden Sie im vorstehenden Microsoft-Beitrag. Ein PC wird nach dem Einstecken des USB-Laufwerks und/oder dem Ausführen der .lnk-Datei infiziert. Einige Infektionen sind jedoch ohne eine Verknüpfungsdatei und ein USB-Laufwerk aufgetreten, was darauf hinweist, dass es mehr als eine Möglichkeit gibt, Raspberry Robin zu fangen.

Microsoft, IBM und Cisco haben Raspberry Robin und seine Entwicklung beobachtet. Zwei Monate nach dem Bericht von Red Canary übernahm Microsoft Raspberry Robin – das der Technologieriese als DEV-0856 verfolgt – durch die Installation der Backdoor-Malware FakeUpdates (auch bekannt als SocGolish), die auch von Evil Corp – einer russischen Gruppe – auf kompromittierten Computern verwendet wird Kriminalbericht, der von Microsoft als DEV-0243 verfolgt wird und den Dridex-Banking-Trojaner verbreitet.

Raspberry Robin wurde auch verwendet, um IdedID (oder BokBot-Banking-Trojaner), Bumblebee-Malware-Loader und Truebot-Trojaner zu verbreiten. Laut Microsoft-Analysten befahl Scumbags auch, LockBit-Ransomware und jetzt Clop-Ransomware auf gekaperten Rechnern auszuführen.

Die Situation wird immer schlimmer. In diesem Monat sah Microsoft, dass Raspberry Robin von einer Crew verwendet wurde, die als DEV-0950 verfolgt wird, was sich mit Bändern mit den Bezeichnungen FIN11 und TA505 überschneidet. Nachdem Raspberry Robin einen PC infiziert hat, verwendet DEV-0950 ihn, um laut Microsoft Cobalt Strike – und gelegentlich Truebot – auszuführen. Schließlich läuft Clop auf dem Computer des Opfers. Laut Microsoft-Forschern war Raspberry Robin ein Segen für diese Schurken.

„DEV-0950 hat traditionell Phishing verwendet, um die Mehrheit der Opfer zu gewinnen, so dass diese dramatische Umstellung auf die Verwendung von Raspberry Robin es ihnen ermöglicht, Payloads an bestehende Infektionen zu liefern und ihre Kampagnen schneller in die Ransomware-Stufen zu verlagern“, schrieben sie.

„Angesichts der vernetzten Natur der Wirtschaft der Cyberkriminalität ist es möglich, dass die Akteure hinter diesen Malware-Kampagnen im Zusammenhang mit Raspberry Robin – die normalerweise über andere Mittel wie böswillige Werbung oder E-Mail verbreitet werden – Betreiber von Raspberry Robin für die Installation von Malware bezahlen.“

Im Juli entdeckte Microsoft, dass Fauppod, Malware, die von einer anderen Gruppe namens DEV-0651 von Azure und Discord vertrieben wird, einen ähnlichen Code wie Raspberry Robin hat. Es stellte auch FakeUpdates-Hintertüren zur Verfügung.

IBMs Security X-Force fand im September weitere Verbindungen zwischen Raspberry Robin und Dridex, einschließlich Ähnlichkeiten in Struktur und Funktionalität, zwischen einer Raspberry Robin DLL und einem Dridex-Malware-Loader.

„Daher stellt die IBM Sicherheitsforschung eine weitere Verbindung zwischen Infektionen mit Raspberry Robin und der in Russland ansässigen cyberkriminellen Gruppe ‚Evil Corp‘ her, die dieselbe Gruppe hinter der Dridex-Malware ist, was darauf hindeutet, dass Evil Corp wahrscheinlich die Infrastruktur von Robin Robin nutzt, um seine Angriffe durchzuführen “, schrieben Kevin Henson, ein Malware-Reverse-Engineer, und Emmy Ebanks, eine Malware-Responderin, bei IBM.

Die Malware soll sich laut Microsoft weiter zu einer immer gefährlicheren Bedrohung entwickeln.

„Während Raspberry Robin bei seiner ersten Entdeckung keinen Zweck zu erfüllen schien, hat es sich weiterentwickelt und steuert auf potenziell verheerende Auswirkungen auf die Umgebungen zu, in denen es noch installiert ist“, schrieben die Analysten.

Related Articles

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein

Latest Articles