La constante evolución de las amenazas cibernéticas representa un desafío incesante para individuos y organizaciones. Una de estas amenazas, conocida como Raspberry Robin, ha capturado la atención de expertos y aficionados por igual debido a sus recientes mejoras.
¿Qué es Raspberry Robin?
Raspberry Robin es un tipo de malware, específicamente un gusano, que se propaga principalmente a través de unidades extraíbles, como memorias USB. Fue identificado por primera vez en 2021 y desde entonces ha evolucionado significativamente. Este malware utiliza técnicas avanzadas para infectar sistemas, evadir la detección y facilitar la entrada de otras amenazas cibernéticas.
Te podrá interesar: ¿Que son los Ataques de Gusano Informático?
Evolución y Mejoras Recientes
Los operadores de Raspberry Robin han comenzado a emplear dos nuevos exploits de un día para lograr una escalada de privilegios locales, mientras continúan mejorando el malware para aumentar su sigilo. Según un informe de seguridad de esta semana, Raspberry Robin ha demostrado tener acceso a exploits recientes o incluso desarrollarlos internamente en un corto período.
Raspberry Robin, también conocido como el gusano QNAP, ha sido identificado por primera vez en 2021 y se ha establecido como un facilitador clave para la entrada de otras cargas maliciosas, incluyendo el ransomware.
Este malware, atribuido a un actor de amenazas conocido como Storm-0856 (anteriormente DEV-0856), se propaga a través de diversos vectores, incluyendo unidades USB infectadas, y forma parte de un complejo e interconectado "ecosistema de malware" con vínculos con grupos delictivos electrónicos como Evil Corp, Silence y TA505.
Podría interesarte leer: BadUSB: El Enemigo Invisible en su Puerto USB
Anteriormente, Check Point había señalado el uso de Raspberry Robin de exploits de un día, como CVE-2020-1054 y CVE-2021-1732, para la escalada de privilegios en abril de 2023.
La firma de seguridad informó de "grandes oleadas de ataques" desde octubre de 2023 y destacó la implementación de técnicas adicionales de antianálisis y ofuscación por parte de los actores de amenazas para dificultar su detección y análisis.
Es crucial destacar que Raspberry Robin sigue utilizando diferentes exploits para vulnerabilidades poco después de que estas se revelen públicamente. Algunos de estos exploits, como CVE-2023-36802, se han vendido en la web oscura como día cero antes de ser públicamente divulgados.
Un informe de Cyfirma reveló que un exploit para CVE-2023-36802 estaba siendo anunciado en foros de la web oscura en febrero de 2023, siete meses antes de que Microsoft y CISA emitieran un aviso sobre su explotación activa.
Se estima que Raspberry Robin comenzó a utilizar un exploit para esta vulnerabilidad en octubre de 2023, el mismo mes en que se publicó un código de exploit público. También se ha observado el uso de exploits para CVE-2023-29360, que fue públicamente revelado en junio de 2023, pero el exploit no apareció hasta septiembre de 2023.
Se cree que los actores de amenazas adquieren estos exploits en lugar de desarrollarlos internamente debido a su naturaleza como ejecutables externos de 64 bits y a su menor nivel de ofuscación en comparación con el módulo principal del malware.
La rápida incorporación de exploits recién revelados en el arsenal de Raspberry Robin subraya su significativa capacidad para aprovechar vulnerabilidades antes de que muchas organizaciones apliquen parches.
Además, se han observado cambios significativos en la forma en que el malware realiza su entrada inicial, aprovechando archivos RAR no autorizados alojados en Discord. También se han modificado la lógica de movimiento lateral y el método de comunicación de comando y control en las variantes más recientes del malware.
Por ejemplo, ahora utiliza PAExec.exe en lugar de PsExec.exe para el movimiento lateral, y selecciona aleatoriamente una dirección cebolla V3 de una lista de 60 direcciones cebolla codificadas para la comunicación con el servidor C2.
Conoce más sobre: ¿Qué es un Ataque de Exploit?
Medidas de Protección
Protegerse contra Raspberry Robin requiere un enfoque proactivo y multifacético de la seguridad informática. Algunas recomendaciones clave incluyen:
- Actualizaciones regulares: Mantener el sistema operativo y todas las aplicaciones actualizadas para protegerse contra vulnerabilidades conocidas.
- Soluciones de seguridad robustas: Utilizar software antivirus y antimalware de confianza, asegurándose de que esté siempre actualizado.
- Educación y concienciación: Capacitar a los usuarios sobre los riesgos de conectar unidades extraíbles desconocidas y la importancia de prácticas seguras de navegación en internet.
- Copias de seguridad: Realizar copias de seguridad regulares de datos importantes para minimizar el impacto en caso de infección.
- Políticas de seguridad estrictas: Implementar políticas de seguridad que restrinjan el uso de unidades extraíbles y monitoreen la actividad de la red para detectar comportamientos sospechosos.
Conclusión
Raspberry Robin es un recordatorio vívido de la naturaleza dinámica y en constante evolución de las amenazas cibernéticas. A medida que este malware continúa desarrollando nuevas capacidades, la necesidad de una vigilancia y protección rigurosas se hace más evidente. Entender su funcionamiento y el impacto potencial es el primer paso para defendernos eficazmente contra él y otras amenazas similares.
La colaboración entre individuos, organizaciones, y profesionales de la seguridad informática será crucial para mitigar los riesgos asociados con Raspberry Robin y asegurar un entorno digital más seguro para todos.
¿Estás listo para blindar tu empresa contra las amenazas de malware más sofisticadas? Con el SOC as a Service de TecnetOne, tendrás un equipo de expertos trabajando las 24 horas, los 7 días de la semana, para proteger tu infraestructura digital. Aprovecha la tecnología avanzada y la experiencia de nuestro equipo para detectar, prevenir y responder rápidamente a cualquier intento de ataque, manteniendo tus datos seguros y tu negocio en marcha.
