Detecção de Malware Raspberry Robin: Novas Conexões Reveladas

No final de julho, pesquisadores da Microsoft divulgaram novas evidências ligando o worm Raspberry Robin do Windows à atividade do grupo apoiado pela Rússia Evil Corp . Raspberry Robin, um worm baseado em USB projetado como carregador de malware, apresenta funcionalidades e elementos estruturais semelhantes aos do malware Dridex, indicando que o notório grupo Evil Corp pode estar por trás da nova onda de ataques.

Em 2019, o Departamento do Tesouro dos EUA sancionou esta organização cibercriminosa prolífica por ataques do malware Dridex que causaram mais de US$ 100 milhões em danos.

Detecção de Malware Raspberry Robin

Para defender proativamente contra a infecção de Raspberry Robin, profissionais da SOC Prime lançaram regras Sigma:

enriquecidas em contexto para detectar a presença maliciosa do malware Raspberry Robin

As regras estão alinhadas com o framework MITRE ATT&CK® v.10, compatível com 26 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime.

Profissionais da SOC dedicados a acompanhar as últimas tendências que moldam o atual cenário de ameaças cibernéticas podem se beneficiar ao utilizar o motor de busca de ameaças cibernéticas pioneiro da SOC Prime. Pressione o botão Explore Threat Context para navegar instantaneamente pelo conjunto de algoritmos de detecção enriquecidos com mapeamento ATT&CK e avançar sua rotina proativa de caça às ameaças.

Explore Detections  

Análise de Malware Raspberry Robin

Na divulgação de 26 de julho de 2022, o gigante da tecnologia revela que o número de infecções observadas em operação atingiu milhões de ataques que não tinham objetivos claros de pós-exploração até recentemente. Desde que esse cluster de atividade foi detalhado pela Red Canary em setembro de 2021, o Raspberry Robin, também conhecido pelo codinome QNAP Worm (pelo abuso inicial de dispositivos QNAP) manteve seus truques nas mangas. No mês passado, pesquisadores de segurança detectaram infecções entregando malware FAKEUPDATES, também conhecido como SocGholish, ligando os ataques ao DEV-0206 e DEV-0243 (também conhecido como Evil Corp).

O processo de infecção do Raspberry Robin começa comprometendo um dispositivo com um arquivo malicioso de atalho do Microsoft (.LNK), normalmente entregue via um dispositivo USB. Quando a vítima abre o arquivo, resulta na busca e execução de um instalador MSI de um domínio C2. Para estabelecer um ponto de apoio dentro de um sistema infectado, o malware cria uma chave de registro, garantindo que o mesmo DLL seja injetado no rundll32.exe após cada inicialização.

Aumente suas chances de reduzir o tempo de permanência e anular os adversários antes que o dano seja feito utilizando ferramentas e soluções inovadoras fornecidas por uma equipe de profissionais dedicados da SOC Prime. Registre-se para os próximos eventos online e confira uma vasta coleção de materiais educacionais disponíveis na Cyber Library.