Raspberry Robin: Wurm, der sich über externe Speichergeräte verbreitet

Raspberry Robin (auch bekannt als Worm.RaspberyRobin) war zunächst eine unauffällige Bedrohung, die häufig auf externen USB-Speichergeräten installiert wurde. Er wurde erstmals im September 2021 entdeckt und hat sich seitdem als Brutstätte für ernstere Bedrohungen erwiesen, wie in diesem Microsoft Security Blog beschrieben.

In den letzten 30 Tagen hat Raspberry Robin Nutzlastwarnungen auf den Geräten von fast 1.000 Organisationen ausgelöst. Nach der Infektion erhält er seine Nutzlast über msiexec.exe von QNAP-Cloud-Konten, wird über rundll32.exe ausgeführt und erstellt einen Befehls- und Kontrollkanal über TOR.

Da Raspberry Robin und der Dridex-Malware-Loader viele Gemeinsamkeiten aufweisen, kann er mit der russischen Ransomware-Bande "Evil Corp" in Verbindung gebracht werden. Tatsächlich bestätigte IBM Security dies bei der Untersuchung von zwei dynamischen Link-Bibliotheken (DLLs), die während der Infektion mit Raspberry Robin hinterlegt wurden, und verglich sie mit dem Dridex-Malware-Loader, der mit Evil Corp. verbunden ist.

Das US-Finanzministerium verhängte 2019 Sanktionen gegen die Evil Corp. wegen der Entwicklung von Dridex. Es wurde festgestellt, dass die Dekodierungsalgorithmen von Raspberry Robin und Dridex ähnlich sind, da sie beliebige Zeichenfolgen in den portablen ausführbaren Dateien verwenden und einen Zwischenladecode haben, der die letzte Nutzlast auf ähnliche Weise dekodiert. Außerdem enthielt er auch einen ähnlichen Anti-Analyse-Code.

Wie A10 Networks vor Malware und Raspberry Robin schützt

Der Schutz vor Malware erfordert Einblicke in den verschlüsselten Datenverkehr, um Angriffe am Netzwerkrand zu verhindern. A10 Networks Thunder® SSL Insight (SSLi®) bietet TLS/SSL-Entschlüsselung und -Inspektion, um Malware und andere Angriffe auf verschlüsselten Netzwerkverkehr zu erkennen.