Se descubren 200 dominios C2 asociados a Raspberry Robin

Un estudio reciente ha identificado casi 200 dominios de comando y control (C2) exclusivos relacionados con un malware denominado Raspberry Robin.

¿Qué es Raspberry Robin?

“Raspberry Robin (también conocido como Roshtyak o Storm-0856) es una amenaza sofisticada y en constante cambio que ofrece servicios de intermediación para acceso inicial (IAB) a diversos grupos criminales, muchos de los cuales están vinculados a Rusia”, indicó Silent Push en un informe compartido.

Detalles de Raspberry Robin

Desde su aparición en 2019, este malware se ha convertido en un canal para distintas variantes maliciosas como SocGholish, Dridex, LockBit, IcedID, BumbleBee y TrueBot. También es conocido como el gusano QNAP, debido al uso de dispositivos QNAP comprometidos para entregar su carga útil. A lo largo del tiempo, las cadenas de ataque de Raspberry Robin han incorporado un nuevo método de distribución, el cual consiste en descargarlo a través de archivos comprimidos y scripts de Windows enviados como adjuntos mediante el servicio de mensajería Discord. Además, se ha observado la explotación de vulnerabilidades de día cero para lograr una escalada de privilegios locales antes de que estas fueran publicadas.

Infecciones en USB

Adicionalmente, las infecciones de Raspberry Robin han implementado un mecanismo de propagación basado en USB, el cual utiliza una unidad USB infectada que contiene un acceso directo de Windows (LNK) disfrazado de carpeta para activar la ejecución del malware. Recientemente, el gobierno de Estados Unidos reveló que el grupo de amenazas vinculado al estado ruso, conocido como Cadet Blizzard, pudo haber empleado Raspberry Robin como facilitador para acceder a redes de forma inicial.

En su análisis más reciente, realizado junto a Team Cymru, Silent Push descubrió una dirección IP utilizada como intermediaria para conectar todos los dispositivos QNAP comprometidos, lo que llevó al hallazgo de más de 180 dominios C2 únicos.

Dominios de Raspberry

Entre los principales dominios de nivel superior (TLD) asociados con Raspberry Robin se encuentran .wf, .pm, .re, .nz, .eu, .gy, .tw y .cx, registrados a través de proveedores especializados como Sarek Oy, 1API GmbH, NETIM, Epag[.]de, CentralNic Ltd y Open SRS. La mayoría de los dominios C2 identificados tienen servidores de nombres en la empresa búlgara ClouDNS..

Sophos Firewall

Podemos defendernos de estos ataques de malware con las tecnologías de Sophos, que constantemente contienen nuevas actualizaciones para mantenerse al día de nuevos tipos de malware.

PROTECCIÓN WEB:

El motor de protección web de Sophos cuenta con el respaldo de SophosLabs Intelix e incluye innovadoras tecnologías necesarias para identificar y bloquear las últimas amenazas web.

• Protección web avanzada
• Protección contra pharming
• Escaneado de HTTPS
• Control de aplicaciones no deseadas
• SophosLabs

Protección contra amenazas activas:

Sophos Firewall ofrece una respuesta inmediata y automatizada a las amenazas y a los adversarios activos para detenerlos en seco y evitar la propagación lateral.

• Compatible con varios feeds de amenazas, incluidos los de Sophos X-Ops y MDR/XDR
• Bloquea inmediatamente las amenazas activas sin necesidad de reglas de firewall
• Utiliza la Seguridad Sincronizada para aislar automáticamente los endpoints administrados y aportar visibilidad

CONTROL WEB:

Visibilidad y control completos sobre todo el tráfico web con herramientas de aplicación flexibles que funcionan según sus necesidades, con opciones de cumplimiento para actividad, cuotas, programaciones y conformado de tráfico según usuarios y grupos.

• Modelo de políticas de nivel empresarial de puerta de enlace web segura (SWG)
• Compatibilidad con Sophos DNS Protection
• Control de actividades basado en plantillas con políticas predefinidas del lugar de trabajo y de cumplimiento
• Funciones educativas y SafeSearch
• Imposición de tráfico completa
• Conformado de tráfico (QoS)

Sophos Intercept X Endpoint

Sophos Intercept X Endpoint proporciona una protección inigualable, ya que detiene los ataques avanzados antes de que afecten a sus sistemas. Las potentes herramientas de detección y respuesta para endpoints y de detección y respuesta ampliadas (EDR/XDR) permiten a su organización buscar, investigar y responder a actividades sospechosas e indicadores de ataque.

REDUCCIÓN DE LA SUPERFICIE DE AMENAZAS

• Protección web
• Control web
• Reputación de descargas
• Control de aplicaciones
• Control de periféricos
• Prevención de fugas de datos
• Bloqueo de servidor (lista de aplicaciones permitidas)
• Cifrado completo de disco

PREVENCIÓN DE AMENAZAS

• Protección contra archivos de ransomware (CryptoGuard)
• Protección contra el ransomware remoto (CryptoGuard)
• Protección contra el ransomware que ataca el registro de arranque maestro (MBR)
• Defensas contextuales:
  • Protección adaptativa contra ataques
• Defensas contextuales:
  • Advertencias de ataques críticos en toda la infraestructura
• Prevención de malware basada en IA con Deep Learning
• Escaneado de archivos antimalware
• Bloqueo de aplicaciones no deseadas (PUA)
• Búsquedas en la nube de Live Protection
• Análisis de comportamientos
• Antiexploits (+60 mitigaciones)
• Bloqueo de aplicaciones
• Interfaz de escaneado antimalware (AMSI)
• Detección de tráfico malicioso
• Sistema de prevención de intrusiones (IPS)
• Monitorización de integridad de archivos (servidores)