El malware Raspberry Robin se está utilizando para entregar todo tipo de código destructivo, incluido ransomware, a puntos finales comprometidos. (se abre en una pestaña nueva)ha advertido Microsoft.
Parece que el malware, descubierto por primera vez a fines de 2021, y cuyo final se desconocía en ese momento, se transformó en un servicio de infección disponible para cualquier persona con dinero en efectivo para pagar.
Investigadores de ciberseguridad de Microsoft han publicado una entrada de blog detallada (se abre en una pestaña nueva) en el que describen a Raspberry Robin como “parte de un ecosistema de malware complejo e interconectado”, con enlaces a otras familias de malware y métodos de infección alternativos.
Infección de alquiler
Quienquiera que esté detrás de Raspberry Robin se mantuvo ocupado durante las últimas semanas, ya que, según los datos de Microsoft Defender para Endpoint, casi 3000 dispositivos en 1000 organizaciones han experimentado al menos una alerta relacionada con la carga útil de Raspberry Robin en los últimos 30 días.
Las cargas útiles difieren, explicó la compañía, del malware FakeUpdates que condujo a una posible actividad de EvilCorp, a IceID, Bumblebee y Truebot. Esto es todo julio de 2022.
Sin embargo, en octubre de 2022, Microsoft también detectó que FIN11 (también conocido como TA505, el grupo detrás del troyano bancario Dridex y el ransomware Locky) usaba Raspberry Robin. Esta actividad condujo a compromisos prácticos con el teclado de Cobalt Strike, explicó la compañía, a veces con una infección de Truebot entre las etapas de Raspberry Robin y Cobalt Strike. Siguiendo la baliza Cobalt Strike, el grupo implementó el ransomware Clop.
A fin de cuentas, Microsoft concluyó que el grupo detrás de Raspberry Robin está recibiendo pagos para implementar varios malware y ransomware en los puntos finales de sus víctimas.
“Dada la naturaleza interconectada de la economía ciberdelincuente, es posible que los actores detrás de estas campañas de malware relacionadas con Raspberry Robin, generalmente distribuidas a través de otros medios como anuncios maliciosos o correo electrónico, estén pagando a los operadores de Raspberry Robin por las instalaciones de malware”, concluye el informe.
Raspberry Robin se identificó por primera vez cuando los investigadores de Red Canary descubrieron un «grupo de actividad maliciosa». El malware generalmente se distribuye fuera de línea, a través de unidades USB infectadas. Después de analizar una memoria USB infectada, los investigadores descubrieron que el gusano se propaga a nuevos dispositivos a través de un archivo .LNK malicioso.
- Realice un seguimiento del tráfico con los mejores cortafuegos (se abre en una pestaña nueva) allí afuera