Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los piratas informáticos utilizan el ransomware Clop para atacar a las organizaciones infectadas por el gusano Raspberry Robin
Obanla Opeyemi
9 de noviembre de 2022 - Equipo de expertos TuxCare
Un grupo de hackers que se identifica simplemente como DEV-0950 está utilizando el ransomware CIop para cifrar la red de organizaciones previamente infectadas con el gusano Raspberry Robin.
Raspberry Robin es un gusano de Windows que se propaga a través de un dispositivo USB extraíble. Utiliza el instalador de Windows para acceder a los dominios asociados a QNAP y descargar una DLL maliciosa. A continuación, el malware utiliza nodos de salida TOR como infraestructura C2 de respaldo.
El malware utiliza cmd.exe para leer y ejecutar un archivo almacenado en la unidad externa infectada. Aprovecha msiexec.exe para la comunicación de red externa a un dominio falso, que se utiliza como C2 para descargar e instalar un archivo de biblioteca DLL.
Aunque el malware se utilizó en la actividad posterior al compromiso vinculada a DEV-0950, los datos recopilados por Microsoft Defender for Endpoint muestran que cerca de 3.500 dispositivos en casi 1.000 organizaciones se han visto comprometidos en los últimos 30 días con al menos una alerta relacionada con la carga útil RaspberryRobin.
Los ataques realizados por el DEV-0950 llevaron al uso de la baliza Cobalt Strike. En otros casos, los atacantes entregaron el malware Truebot entre la infección de Raspberry Robin y el despliegue de Cobalt Strike. Las investigaciones muestran además que los expertos observaron las infecciones de gusanos utilizando las cargas útiles IcedID Bumblebee y TrueBot a partir del 19 de septiembre de 2022, siendo la última etapa del ataque el despliegue del ransomware CIop.
Sin embargo, DEV-0950 no es el único actor de amenazas que aprovecha la vulnerabilidad para lanzar ataques de ransomware contra organizaciones. Los investigadores observaron la propagación de FakeUpdates a través del malware Raspberry Robin. Según los investigadores de Microsoft, otro actor de amenazas, identificado como DEV-0206, fue el responsable de utilizar el gusano para desplegar un descargador en redes controladas por actores de amenazas con TTP de Evil Corp.
Los investigadores explicaron que DEV-0206 es un intermediario de acceso que utiliza campañas publicitarias de malware para comprometer las redes corporativas.
"DEV-0950 utiliza tradicionalmente el phishing para conseguir la mayoría de sus víctimas, por lo que este notable cambio al uso de Raspberry Robin les permite entregar cargas útiles a las infecciones existentes y llevar sus campañas más rápidamente a las fases de ransomware. Dada la naturaleza interconectada de la economía cibercriminal, es posible que los actores que están detrás de estas campañas de malware relacionadas con Raspberry Robin -generalmente distribuidas a través de otros medios como anuncios maliciosos o correo electrónico- estén pagando a los operadores de Raspberry Robin por las instalaciones de malware", se lee en el informe publicado por Microsoft.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.
