Il malware continua ad affliggere organizzazioni e individui e uno dei ceppi più insidiosi degli ultimi tempi è il malware Raspberry Robin.
I criminali informatici escogitano instancabilmente nuove tecnologie e strategie per infiltrarsi nei sistemi, rubare dati e sconvolgere vite umane. Il malware, ovvero il software dannoso creato con intenti dannosi, funge da arma preferita. Dai semplici virus alle sofisticate operazioni ransomware, i tipi di malware distribuiti si evolvono costantemente per aggirare le nostre difese.
Negli ultimi tempi si è assistito all’ascesa di una varietà particolarmente preoccupante conosciuta come Raspberry Robin. Questo malware possiede un insieme unico di funzionalità e un preoccupante livello di resilienza che lo distingue da molte altre minacce. Se desideri salvaguardare le tue informazioni personali o proteggere un’azienda da attacchi informatici devastanti, è fondamentale comprendere la natura del malware Raspberry Robin.
Ora analizzeremo questo pericoloso malware, esaminandone i metodi, le conseguenze e, soprattutto, come rafforzare le difese contro di esso.
Cos’è il malware Raspberry Robin?
Il malware Raspberry Robin è un malware complesso spesso descritto come un worm a causa del suo metodo di distribuzione principale: unità USB infette. Osservato per la prima volta nel 2021la natura insidiosa di Raspberry Robin risiede nella sua capacità di utilizzare strumenti Windows legittimi, come Windows Installer (MSIExec), per eseguire codice dannoso.
Questa capacità di”vivere della terra” rende il malware Raspberry Robin più difficile da rilevare da parte dei tradizionali software antivirus. Inoltre, spesso funge da gateway per attacchi successivi, aprendo potenzialmente la strada a payload più distruttivi come il ransomware.
Come il malware Raspberry Robin si diffonde e infetta
Raspberry Robin si diffonde principalmente attraverso dispositivi USB compromessi. Ecco una tipica catena di infezione:
- Compromesso iniziale: un utente ignaro inserisce un’unità USB infetta nel proprio computer.
- Esecuzione del file LNK: L’unità USB contiene un file LNK (scorciatoia Windows) dannoso nascosto che, quando viene cliccato, avvia silenziosamente una serie di comandi
- Abuso di Windows Installer: Raspberry Robin utilizza in modo improprio lo strumento Windows Installer (MSIExec) per eseguire codice dannoso mascherato da file legittimo
- Comunicazione di comando e controllo (C2).: Il malware stabilisce un contatto con un server di comando e controllo remoto controllato dagli aggressori
- Consegna del carico utile: Raspberry Robin scarica e installa ulteriori payload o strumenti dannosi progettati per facilitare ulteriori attacchi
Il rapporto di Check Point evidenzia diversi progressi nelle recenti varianti di Raspberry Robin. Questi includono nuove tecniche anti-analisi, tattiche di evasione e persino meccanismi di movimento laterale. Ad esempio, tenta di terminare i processi relativi alla sicurezza, applica patch alle API per evitare il rilevamento e impedisce persino l’arresto del sistema che potrebbe interferire con il suo funzionamento.
Sempre secondo il loro rapporto, il malware Raspberry Robin si è trovato un nuovo host, File RAR condivisi su Discord. Questa tabella mostra il funzionamento delle versioni evolute e nuove del malware, sulla base di una ricerca approfondita di Punto di controllo:
| Versione precedente | Versione attuale | |
| Metodo di consegna | Per lo più unità USB | File RAR Discord |
| Sfrutta il processo di iniezione | winver.exe | cleanmgr.exe |
| Movimento laterale | PSExec.exe | PAExec.exe |
| Domini di cipolla | Domini V2 | Domini V3 |
| controllo dell’aggancio | X | V |
| Aggancio NtTraceEvent | X | V |
| terminazione runonce.exe | X | V |
| terminazione di runlegacycplelevated.exe | X | V |
| Arresto dell’evasione | X | V |
| Evasione dal desktop remoto | X | V |
| Evasione del filtro UWF | X | V |
In continua evoluzione
Come molte famiglie di malware moderne, Raspberry Robin si evolve continuamente per eludere il rilevamento e mantenere un vantaggio. I ricercatori di sicurezza hanno recentemente osservato diversi nuovi sviluppi nelle sue tecniche. Ad esempio, le campagne hanno iniziato a sfruttare vulnerabilità zero-day (ad esempio CVE-2023-36802 E CVE-2023-29360) trovato nei componenti di Windows. Questa mossa evidenzia la determinazione dei suoi operatori a sfruttare i punti deboli prima che le patch di sicurezza diventino ampiamente disponibili.
Il malware Raspberry Robin inoltre rende l’analisi e il rilevamento più impegnativi utilizzando un pesante offuscamento. Impacchetta e maschera ripetutamente il suo codice, ostacolando i ricercatori di sicurezza informatica che cercano di comprenderne il funzionamento interno. Ciò aggiunge un livello di protezione che aiuta il malware Raspberry Robin rimanere inosservato.
A complicare ulteriormente le cose, alcune varianti del malware Raspberry Robin utilizzano l’estensione Rete Toruna tecnologia progettata per l’anonimato, per oscurare la loro comunicazione con i server di comando e controllo che ostacola gli sforzi di tracciamento e consente al malware di mantenere una connessione nascosta con i suoi controllori.
Un’infezione da malware Raspberry Robin va ben oltre il fastidio di un virus standard. Questo malware è progettato per agire come a gateway per attacchi informatici molto più devastanti. Se lasciate senza controllo, le vittime potrebbero affrontare conseguenze disastrose. Gli aggressori potrebbero esfiltrare dati sensibili, tra cui credenziali di accesso, informazioni finanziarie o file privati. Ciò potrebbe comportare il furto di identità, perdite finanziarie o persino danni alla reputazione.
I pericoli non si fermano qui. I ricercatori di sicurezza hanno osservato collegamenti tra il malware Raspberry Robin e noti gruppi di ransomware. Ciò significa che un’intrusione apparentemente minore potrebbe improvvisamente portare i tuoi sistemi critici a essere crittografati e tenuti in ostaggio dagli operatori di ransomware. Tali attacchi possono bloccare le operazioni e comportare richieste esorbitanti.
Inoltre, dopo aver preso piede su una macchina infetta, il malware Raspberry Robin può consentire agli aggressori di spostarsi lateralmente all’interno di un’intera rete aziendale. Ciò consente ai criminali informatici di scovare silenziosamente obiettivi di alto valore, aumentando la portata e il potenziale di danno dell’infezione iniziale.
Come proteggersi dal malware Raspberry Robin
Nella battaglia in corso contro il malware Raspberry Robin, la vigilanza è un requisito non negoziabile. L’implementazione di alcune difese critiche può migliorare notevolmente il tuo livello di sicurezza. Inizia sottolineando l’educazione degli utenti: aumentare la consapevolezza all’interno della vostra organizzazione sui pericoli delle unità USB infette. Incoraggiare i dipendenti a evitare dispositivi sconosciuti e mantenere buone abitudini di igiene informatica.
Se le tue operazioni aziendali lo consentono, valuta la possibilità di attuare politiche che lo consentano limitare o disabilitare completamente l’utilizzo dell’unità USB. Ciò contribuirà a ridurre sostanzialmente un importante vettore di infezione per il malware Raspberry Robin.
Investi in a solida soluzione per la sicurezza degli endpoint, in particolare uno con funzionalità avanzate di rilevamento basato sul comportamento. Questi sistemi possono rilevare attività sospette che i tradizionali antivirus basati su firma potrebbero non rilevare. Inoltre, rendere la gestione delle patch una priorità elevata. Applicare tempestivamente patch di sicurezza e aggiornamenti ai sistemi operativi e alle applicazioni, riducendo il numero di vulnerabilità del software Il malware Raspberry Robin potrebbe sfruttare.
Infine, istituto pratiche proattive di monitoraggio della rete. Tieni d’occhio il traffico di rete per individuare eventuali comportamenti insoliti che potrebbero indicare la comunicazione tra macchine infette e server di comando e controllo dannosi.
Credito immagine in primo piano: Drew De Arcos/Unsplash.
