Raspberry Robin Wurm transportiert Malware

Microsoft hat Aktivitäten entdeckt, die darauf hindeuten, dass der Raspberry-Robin-Wurm Teil eines komplexen und vernetzten Malware-Ökosystems ist, mit Verbindungen zu anderen Malware-Familien und alternativen Infektionsmethoden, die über die ursprüngliche Verbreitung per USB-Laufwerk hinausgehen.

Diese Infektionen führen zu nachfolgenden Angriffen über die Tastatur und zu Ransomware-Aktivitäten, die von Menschen ausgeführt werden. Die kontinuierliche Verfolgung von Aktivitäten im Zusammenhang mit Raspberry Robin zeigt ebenfalls eine sehr aktive Operation: Aus den Daten von Microsoft Defender for Endpoint geht hervor, dass in den letzten 30 Tagen auf fast 3.000 Geräten in fast 1.000 Unternehmen mindestens eine Warnung im Zusammenhang mit Raspberry Robin-Nutzdaten aufgetreten ist.

Raspberry Robin hat sich von einem weit verbreiteten Wurm ohne beobachtete Aktionen nach der Infektion, als Red Canary ihn im Mai 2022 erstmals meldete, zu einer der größten derzeit aktiven Malware-Verteilungsplattformen entwickelt. Im Juli 2022 beobachteten Sicherheitsforscher von Microsoft, dass mit Raspberry Robin infizierte Geräte mit der FakeUpdates-Malware installiert wurden, was zu DEV-0243-Aktivitäten führte. DEV-0243, eine Ransomware-assoziierte Aktivitätsgruppe, die sich mit Aktionen überschneidet, die von anderen Anbietern als EvilCorp verfolgt werden, wurde erstmals im November 2021 bei der Bereitstellung der LockBit Ransomware as a Service (RaaS)-Nutzlast beobachtet. Seitdem hat Raspberry Robin auch IcedID, Bumblebee und Truebot eingesetzt.

Im Oktober 2022 beobachtete Microsoft, dass Raspberry Robin für Aktivitäten nach der Kompromittierung verwendet wurde, die einem anderen Akteur, DEV-0950, zugeschrieben werden (der sich mit Gruppen überschneidet, die öffentlich als FIN11/TA505 geführt werden). Ausgehend von einer Raspberry-Robin-Infektion führte die DEV-0950-Aktivität zu Cobalt-Strike-Tastaturkompromittierungen, wobei manchmal eine Truebot-Infektion zwischen der Raspberry-Robin- und Cobalt-Strike-Phase beobachtet wurde.

Die Aktivität gipfelte in der Verbreitung der Ransomware Clop. DEV-0950 setzt traditionell Phishing ein, um die meisten seiner Opfer zu gewinnen, so dass dieser bemerkenswerte Wechsel zur Verwendung von Raspberry Robin es ihnen ermöglicht, Nutzlasten an bestehende Infektionen zu liefern und ihre Kampagnen schneller in die Ransomware-Phase zu bringen.

In Anbetracht der vernetzten Wirtschaft der Cyberkriminellen ist es möglich, dass die Akteure hinter diesen Raspberry Robin-bezogenen Malware-Kampagnen – die in der Regel über andere Wege wie bösartige Werbung oder E-Mails verbreitet werden – die Raspberry Robin-Betreiber für die Installation von Malware bezahlen.

Raspberry Robin-Angriffe umfassen mehrstufige Eindringversuche, und die Aktivitäten nach der Kompromittierung erfordern den Zugriff auf hoch privilegierte Anmeldeinformationen, um weitreichende Auswirkungen zu haben.

Die anfängliche Ausbreitung von Raspberry Robin über USB-Laufwerke

Anfang Mai 2022 berichtete Red Canary, dass sich ein neuer Wurm namens Raspberry Robin über infizierte USB-Laufwerke auf Windows-Systemen ausbreitet. Das USB-Laufwerk enthält eine Windows-Verknüpfungsdatei (LNK), die als Ordner getarnt ist. Bei früheren Infektionen verwendete diese Datei einen allgemeinen Dateinamen wie recovery.lnk, aber bei neueren Infektionen werden Marken von USB-Laufwerken verwendet. Es ist anzumerken, dass USB-Wurm-Malware nicht neu ist und von vielen Unternehmen nicht mehr als Hauptbedrohung eingestuft wird.

Für einen Angriff, bei dem ein USB-Laufwerk verwendet wird, um Malware beim Einstecken auszuführen, muss die autorun.inf des Zielsystems bearbeitet oder konfiguriert werden, um anzugeben, welcher Code beim Einstecken des Laufwerks gestartet werden soll. Die automatische Ausführung von Wechseldatenträgern ist unter Windows standardmäßig deaktiviert. Viele Unternehmen haben sie jedoch durch Änderungen an den Gruppenrichtlinien weitgehend aktiviert.

In der Öffentlichkeit wurde viel darüber diskutiert, ob die Raspberry-Robin-Laufwerke Autoruns zum Starten verwenden oder ob sie rein auf Social Engineering beruhen, um Benutzer zum Anklicken der LNK-Datei zu bewegen. Untersuchungen des Microsoft Threat Intelligence Center (MSTIC) und des Microsoft Detection and Response Team (DART) haben bestätigt, dass es bei den beobachteten Angriffen beide Fälle gibt.

Einige Raspberry Robin-Laufwerke enthalten nur die LNK- und ausführbaren Dateien, während Laufwerke aus früheren Infektionen eine konfigurierte autorun.inf enthalten. Diese Änderung könnte damit zusammenhängen, dass sich die Namen der Verknüpfungsdateien von allgemeineren Namen zu Markennamen von USB-Laufwerken geändert haben, was einen Benutzer möglicherweise dazu verleitet, die LNK-Datei auszuführen.