Detección de Malware Raspberry Robin: Versión Mejorada con Comportamiento de Gusano que Ataca a Instituciones Financieras Europeas
Tabla de contenidos:
No importa la temporada de vacaciones, los adversarios no tienen vacaciones para inventar nuevos trucos maliciosos para apuntar a víctimas desprevenidas. La semana pasada, investigadores de seguridad descubrieron una variante mejorada del malware tipo gusano Raspberry Robin, utilizado para atacar a empresas financieras y de seguros en países europeos. Los expertos señalan específicamente que Raspberry Robin recibió una actualización significativa, incluyendo características de ofuscación compleja y anti-análisis, un mecanismo de descarga sofisticado y capacidades de cifrado de datos, entre otros.
Detectar Malware Raspberry Robin
La última actualización de Raspberry Robin es un llamado de atención para los profesionales de seguridad a nivel mundial. Este marco malicioso se considera una de las mayores plataformas de distribución de malware en el ámbito, ampliamente adoptado por operadores de ransomware y otros actores motivados financieramente.
Para ayudar a los profesionales de seguridad a defenderse proactivamente contra posibles intrusiones, la plataforma Detection as Code de SOC Prime ofrece un lote de reglas Sigma dedicadas para detectar Raspberry Robin, incluyendo aquellas para identificar actividad maliciosa relacionada con la última iteración del malware.
Pulse el Explorar Detecciones botones a continuación para acceder a la lista completa de contenido de detección relevante, acompañada de amplia metadatos y referencias CTI. Todo el contenido de detección es compatible con más de 25 soluciones SIEM, EDR, BDP y XDR y está mapeado al marco MITRE ATT&CK® v12.
Raspberry Robin Worm: Análisis del Malware Mejorado Utilizado en las Últimas Campañas
Raspberry Robin troyano diseñado como un cargador de malware es un gusano que infecta sistemas objetivo a través de dispositivos USB troyanizados. Se ha detectado malware en el panorama de amenazas cibernéticas desde mediados de mayo de 2022, expandiendo continuamente el alcance de sus ataques y evolucionando las cepas maliciosas con nuevas variantes que llegan a la escena. En julio de 2022, investigadores de ciberseguridad de Microsoft vincularon el backdoor Raspberry Robin con el colectivo de hacking respaldado por Rusia conocido como Evil Corp, que estaba detrás de ciberataques contra instituciones financieras propagando malware Dridex. Raspberry Robin ha sido considerado un malware vinculado a Evil Corp debido a su notable semejanza con el cargador de malware Dridex. malware. Raspberry Robin has been considered Evil Corp-linked malware due to its striking resemblance to the Dridex malware loader.
A finales de 2022, investigadores de ciberseguridad descubrieron patrones de comportamiento complicados asociados con la distribución de Raspberry Robin, que implicaban intentos maliciosos de lanzar una carga útil fraudulenta para evadir la detección. Esta novedosa táctica adversaria fue aplicada en una de las últimas campañas de Raspberry Robin dirigidas a empresas de telecomunicaciones y entidades gubernamentales.
Las versiones más recientes del backdoor tipo gusano utilizan técnicas avanzadas de ofuscación para obstaculizar el análisis anti-malware, lo que plantea nuevos desafíos a los defensores cibernéticos. Investigadores de ciberseguridad indican que los hackers ahora están utilizando la versión más sofisticada de Raspberry Robin en sus últimas campañas maliciosas dirigidas a organizaciones financieras de habla hispana y portuguesa. Según el informe de Security Joes, la variante mejorada del malware permite a los actores de amenazas aprovechar las capacidades de post-infección para evadir la detección, moverse lateralmente y explotar las infraestructuras en la nube de servicios y plataformas web populares, incluyendo Discord, Azure y GitHub.
La versión más reciente del marco involucra capacidades más avanzadas con al menos cinco capas de protección antes del despliegue del código malicioso. La iteración más reciente del malware también aplica una carga útil robusta cifrada con RC4 para el balizamiento C2, lo cual ha reemplazado a una versión anterior menos compleja.
El hecho de que los operadores de Raspberry Robin hayan comenzado a recopilar información sobre sus víctimas exacerba los riesgos de potenciales ataques de malware. La sofisticación aumentada de la última versión del backdoor y sus constantemente mejoradas capacidades ofensivas requieren una ultra capacidad de respuesta por parte de los defensores. Para defenderse proactivamente contra todos los ataques relacionados, se invita a los expertos en seguridad a acceder a una lista completa de Reglas Sigma para detectar Dridex que comparte múltiples similitudes con Raspberry Robin en términos de la estructura del malware y funcionalidad.
