Detección de Malware Raspberry Robin: Nuevas Conexiones Reveladas

A finales de julio, investigadores de Microsoft publicaron nuevas evidencias que vinculan el gusano de Windows Raspberry Robin con la actividad del grupo respaldado por Rusia, Evil Corp . Raspberry Robin, un gusano basado en USB diseñado como cargador de malware, muestra una funcionalidad y elementos estructurales similares a los del malware Dridex, lo que indica que un notorio grupo Evil Corp podría estar detrás de la nueva ola de ataques.

En 2019, el Departamento del Tesoro de EE. UU. sancionó a esta prolífica organización cibercriminal por ataques de malware Dridex que causaron más de $100 millones en daños.

Detección de Malware Raspberry Robin

Para defenderse proactivamente contra la infección de Raspberry Robin, los profesionales de SOC Prime liberaron reglas Sigma:

enriquecidas con contexto para detectar la presencia maliciosa de malware Raspberry Robin.

Las reglas están alineadas con el marco MITRE ATT&CK® v.10, compatibles con 26 soluciones SIEM, EDR y XDR soportadas por la plataforma de SOC Prime.

Los profesionales de SOC dedicados a mantenerse al día con las últimas tendencias que configuran el actual panorama de amenazas cibernéticas pueden beneficiarse al aprovechar el primer Motor de Búsqueda de Amenazas Cibernéticas de la industria de SOC Prime. Presiona el botón Explorar Contexto de Amenazas para navegar al instante en el conjunto de algoritmos de detección enriquecidos con el mapeo ATT&CK y avanzar en tu rutina proactiva de Caza de Amenazas.

Explorar Detecciones  

Análisis de Malware Raspberry Robin

En la divulgación del 26 de julio de 2022, el gigante tecnológico revela que el número de infecciones observadas en estado salvaje ha alcanzado millones de ataques que no tenían claros objetivos de post-explotación hasta hace poco. Desde que este conjunto de actividad fue detallado por Red Canary en septiembre de 2021, Raspberry Robin, también conocido bajo el nombre QNAP Worm (por el abuso inicial de dispositivos QNAP) mantuvo los trucos bajo la manga. El mes pasado, investigadores de seguridad detectaron las infecciones entregando malware FAKEUPDATES, también conocido como SocGholish, vinculando los ataques a DEV-0206 y DEV-0243 (alias Evil Corp).

El proceso de infección de Raspberry Robin comienza comprometiendo un dispositivo con un archivo de acceso directo malicioso de Microsoft (.LNK), normalmente entregado a través de un dispositivo USB. Cuando la víctima potencial abre el archivo, resulta en la obtención y ejecución de un instalador MSI desde un dominio C2. Para establecer una posición dentro de un sistema infectado, el malware crea una clave de registro, asegurando que la misma DLL sea inyectada en rundll32.exe después de cada arranque.

Mejora tus posibilidades de reducir el tiempo de residencia y anular a los adversarios antes de que se cause daño utilizando herramientas y soluciones innovadoras ofrecidas por un equipo de profesionales dedicados de SOC Prime. Regístrate para los próximos eventos en línea y explora una vasta colección de materiales educativos disponibles en la Biblioteca Cibernética.