Raspberry Robin es un malware de primera fase tipo gusano que en sus inicios parecía ser un gusano más en el ciber ecosistema, pero que en los últimos meses se ha convertido en una de las amenazas más importantes del 2022, por ser una de las plataformas más grandes de distribución de malware ¹ y parte de un negocio clandestino muy redituable. Diversos analistas e investigadores de malware le han dado seguimiento desde septiembre del 2021 y han observado una evolución interesante como parte de la tercerización de las fases de un ataque, así como del uso de la complejidad técnica de sus artefactos, como un diferenciador en el negocio del RaaS (Ransomware como servicio) y la distribución de malware.

El propósito de este gusano es tomar el control parcial o total de un dispositivo y mantener el acceso. Se propaga a través de la ejecución de accesos directos almacenados en un dispositivo tipo USB y está dirigido a equipos con sistema operativo Windows; hace uso de múltiples capas y técnicas de ofuscación para evitar ser detectado por soluciones de seguridad como EDR (Endpoint Detection and Response) y/o AV (Antivirus). El equipo de investigadores de Avast, en su publicación del 22 de septiembre de 2022, clasificó este malware como una de las sepas mejor protegidas que ha visto debido a que cuenta con 14 diferentes capas de protección para dificultar su detección o análisis.

Los accesos a los sistemas y/o infraestructura infectados por este gusano son ofertados en el mercado negro y vendidos a otros grupos criminales para que puedan instalar malware adicional para sus propios propósitos. Microsoft, en una publicación del 27 de octubre 2022, indicó que ha visto relación entre Raspberry Robin y otras amenazas y/o grupos de ciber atacantes. Por ejemplo, el grupo DEV-0243 lo ha utilizado para instalar el malware FakeUpdates y el grupo EvilCorp para desplegar LockBit RaaS payload. Se le relaciona también con la Botnet Clipminer y se tienen reportes de que Raspberry Robin se ha utilizado para desplegar otros tipos de malware como IcedID, Bumblebee, Truebot y   Clop ransomware. Este último es un buen ejemplo de las estrategias agresivas y de alto impacto que hoy en día utilizan los atacantes, ya que  utiliza un esquema de extorsión cuádruple: para recuperar el acceso a los sistemas y la información cifrada, para que no se haga pública o se venda la información de la empresa extorsionada en los mercados negros, para extorsionar a los clientes,  o para extorsionar a ejecutivos o empleados de la compañía comprometida para que recuperen y/o no se venda o publique su información confidencial o datos personales.

Las múltiples asociaciones que se han identificado entre Raspberry Robin, de primera fase, y otras amenazas de segunda o tercera fase, nos muestran un nuevo orden de operación y distribución de malware que los ciber atacantes están montando, basado en una estructura de tercerización por fases, lo que nos hace preguntar: ¿en un futuro próximo podemos esperar una especialización de los ciber criminales para desarrollar malware de primera, segunda y/o tercera fase que dificulte aún más su detección y eliminación en conjunto?

Es recomendable seguir monitoreando la evolución de Raspberry Robin puesto que los investigadores coinciden que aún no hemos visto su grado de madurez final, y podremos seguirlo viendo con frecuencia y en continua expansión.

Recomendaciones

• Deshabilitar el auto run de USB mediante las políticas de directorio activo.
• Proteger los dispositivos de usuarios y servidores con soluciones EDR y antivirus.
• Centralizar y analizar las bitácoras de Windows / Sysmon.
• Realizar ejercicios de Threat Hunting para identificar ejecuciones sospechosas del proceso msiexec de Windows.
• Mantener un monitoreo constante de los alertamientos de este malware en las soluciones de seguridad, así como dar un correcto seguimiento de las mismas.

Referencias:

1. Microsoft Security Threat Intelligence. (2022, 27, Octubre). Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity. https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/
2. Breaking Badness. 2022. 137. Vishing Persons Report. https://podcasts.apple.com/us/podcast/breaking-badness/id1456143419?i=1000584815348
3.  Jan Vojtěšek (2022, 09, Septiembre). Raspberry Robin’s Roshtyak: A Little Lesson in Trickery. https://decoded.avast.io/janvojtesek/raspberry-robins-roshtyak-a-little-lesson-in-trickery/
4. Pieter Arntz (2022,31, octubre). Raspberry Robin worm used as ransomware prelude. https://www.malwarebytes.com/blog/news/2022/10/raspberry-robin-worm-used-as-ransomware-prelude