Raspberry Robin: Vom unauffälligen Computerwurm zur komplexen Verteilungsplattform für Malware
von Tina Siering
Die Anfänge: Wie Raspberry Robin sich per USB-Stick verbreitete
Der Raspberry Robin Wurm setzte anfänglich auf die bewährte Infektionsmethode mittels externer Geräte (in der Regel USB-Sticks und externe Festplatten) oder via Netzwerkfreigaben. Verwendet wird der Microsoft Standard Installer (msiexec.exe), um Command-and-Control-Server (C2) zu erreichen, die wahrscheinlich auf kompromittierten QNAP-NAS-Geräten gehostet werden. Die initiale Aktivierung des Wurms wird auf Userklick gestartet oder durch die automatische Ausführung von Wechseldatenträgern unter Windows initiiert. Der zweite Fall wird zwar durch die Standardeinstellungen von Windows unterbunden, allerdings ist Microsoft machtlos, wenn Unternehmen durch die Änderungen von Gruppenrichtlinien die automatische Ausführung erlauben.
Blog-Tipp: Eine Empfehlung, wie eine globale Änderung der Gruppenrichtlinienobjekte (GPO) vorgenommen werden kann, finden Sie im Beitrag „QakBot-Malware: Warnung vor zunehmenden Angriffen“.
Die Infektion mit dem Computerwurm beginnt mit Hilfe zweier Dateien, die im gleichen Verzeichnis liegen: Einer LNK-Datei, die einen Windows-Befehl enthält, sowie einer .bat-Datei, die aus Fülldaten und speziellen Befehlen besteht. In der Folge wird eine bösartige DLL-Bibliothek von einem kompromittierten NAS-Gerät von Qnap geladen und ausgeführt. Raspberry Robin startet diese DLL mit Hilfe von zwei anderen legitimen Windows-Dienstprogrammen: fodhelper (einer vertrauenswürdigen Binärdatei zum Verwalten von Funktionen in Windows-Einstellungen) und odbcconf (einem Tool zum Konfigurieren von ODBC-Treibern). Die Kommunikation zu den C2-Servern geschieht durch das anonymisierende Tor-Netzwerk, um die Malware-Erkennung zu erschweren.
Die Entwicklung: Wie Raspberry Robin Teil eines komplexen Malware-Ökosystems wurde
Ende Oktober 2022 stellten Sicherheitsforscher von Microsoft fest, dass Raspberry Robin Teil eines vernetzten und miteinander verbundenen Malware-Ökosystems ist, mit Verbindungen zu anderen Malware-Familien und auch alternativen Infektionsmethoden, die über seine ursprüngliche USB-Laufwerksverbreitung hinausgehen. Microsoft Defender for Endpoint-Daten zeigten, dass rund 3.000 Geräte in fast 1.000 Organisationen binnen 30 Tagen einen Kontakt mit Raspberry Robin hatten bzw. eine Warnung erhielten.
Auf einigen Geräten, die mit Raspberry Robin infiziert waren, wurde FakeUpdates-Malware gefunden, die DEV-0243-Aktivitäten ausführte. DEV-2043 ist auch unter einem anderen Namen bekannt: EvilCorp. EvilCorp wird in direkten Zusammenhang mit der Bereitstellung von LockBit als Ransomware-as-a-Service gebracht.
Raspberry Robin ist aber nicht nur auf eine Hackergruppe oder das Nachladen einer bestimmten Malware beschränkt. Bisher ist bekannt, dass Malware wie IcedID, Truebot oder Bumblebee Payloads eingesetzt werden. Des Weiteren kam es zu einer Cobalt Strike-Tastaturkomprimittierung der Hackergruppe DEV-0950 (auch bekannt als FIN11/TA505). Eine maliziöse Aktivität, die in einigen Fällen auch eine Truebot-Infektion beinhaltete und in der Verbreitung der Ransomware Clop gipfelte.
Der “bösartige Transformation” von Raspberry Robin zeigt: Cyberkriminelle sind extrem gut miteinander vernetzt, unterschiedliche Malware-Kampagnen werden hochprofessionell ausgeführt und für mehrstufige Angriffe eingesetzt.
Die Folge: Die gesamte Wirtschaft muss sich mit einem kriminellen Ökosystem auseinandersetzen, das auf Effizienzsteigerung setzt und Tools verwendet, die mitunter selbst von “vermeintlich effektiven” IT-Sicherheitslösungen erst spät oder gar nicht erkannt werden.
So schützen sich Organisationen vor der Bedrohung durch Raspberry Robin
Raspberry Robin zeigt, dass nicht unbedingt ein Zugang zum Internet notwendig ist, um Systeme oder Netzwerke mit gefährlicher Malware zu infizieren. Der Computerwurm, zunächst als ungefährlich, stellenweise sogar als harmloser Versuch von IT-Studenten bewertet, hat sich binnen weniger Monate zum Bestandteil eines ausgedehnten Malware-Ökosystem weiterentwickelt. Umso wichtiger sind einmal mehr leistungsstarke IT-Sicherheitskonzepte geworden. Wie können sich Organisationen nun vor der Bedrohung durch Raspberry Robin schützen?
Endpunkte wie Laptops, Smartphones und Workstations stellen für Cyberkriminelle besonders beliebte Ziele dar. Daher ist es ratsam, Endgeräte mit einer Endpoint Protection Platform (EPP) zu schützen. EPP-Lösungen blockieren bekannte dateibasierte Malware am Eintrittspunkt und bieten mithilfe von integrierten Sicherheitsmechanismen sowie signaturbasierten Malware-Abwehrmechanismen einen präventiven Schutz vor Bedrohungen.
Ist Malware jedoch erfolgreich im Netzwerk platziert, ist ein rechtzeitiges Detektieren unerlässlich, um teure Folgeschäden zu vermeiden. Managed Detection and Response-Lösungen wie der Active Cyber Defense Service von Allgeier secion erkennen maliziöse C2-Kommunikationen frühzeitig und proaktiv. Hierfür werden die Systeme der Kunden rund um die Uhr auf Anomalien und Auffälligkeiten im Netzwerktraffic als Full Managed Service überwacht. Bei Verdacht auf eine Kompromittierung mit dringendem Handlungsbedarf werden die beauftragenden IT-Teams umgehend informiert. Der Active Cyber Defense (ACD)-Service von Allgeier secion fungiert als ein Frühwarnsystem und bezieht dabei alle Systeme eines Netzwerkes in die Überwachung mit ein – von Desktops und Laptops über Tablets und Smartphones bis hin zu IoT-Geräten. Für den Service ist keine Installation von Agents auf Clients notwendig. Ist es Kriminellen gelungen, mit Hilfe von Raspberry Robin einen Cyberangriff auszuführen, sind die richtige Handlungsweise und effiziente Prozesse zur angemessenen Behandlung von Sicherheitsvorfällen unverzichtbar. Mit Incident Response Readiness erhalten Unternehmen die optimale Vorbereitung auf den Ernstfall. Mit detaillierten, maßgeschneiderten Richtlinien, Prozessen und der Vorhaltung der notwendigen Werkzeuge lassen sich teure Produktionsausfälle oder Reputationsschäden minimieren beziehungsweise ganz verhindern.
Fazit
Raspberry Robin hat sich in weniger als einem halben Jahr von einem unauffälligen Computerwurm zu einer ernstzunehmenden Malware entwickelt. Diese Entwicklung zeigt einmal mehr: Im Angesicht immer komplexer werdender Cyberbedrohungen können sich Unternehmen nicht mehr ausschließlich auf präventive IT-Sicherheitsmaßnahmen (wie bspw. AV-Lösungen und Firewalling) verlassen, sondern sollten zum effektiven Schutz ihrer Netzwerke Methoden für eine Angriffserkennung ergänzen, um so die zeitkritische Lücke zwischen “Detection” und “Response” zu verringern. Der Active Cyber Defense (ACD)-Service von Allgeier secion bietet eine solche Lösung an und ist als Managed Service zu einer attraktiven monatlichen Servicepauschale buchbar.
Die beauftragenden Unternehmen benötigen für das permanente Monitoring und für die Incident Detection keine eigenen personellen Ressourcen. ACD ist ein Full Managed Service, der Netzwerke proaktiv und kontinuierlich auf Anomalien analysiert und so die Kommunikation der Angreifer zu ihren Command & Control Servern (C&Cs) identifiziert. Die Security Analysten von Allgeier secion überwachen die IT-Infrastruktur rund um die Uhr auf auffällige Aktivitäten und informieren bei Handlungsbedarf unmittelbar. ACD wird vollständig als on-premise Lösung implementiert, mit dem sich Netzwerke aktiv, vorausschauend und permanent absichern lassen. Dabei werden immer alle Systeme innerhalb eines Netzwerkes überwacht – von Desktop-Rechnern über Mobiltelefone und Tablets bis hin zu IoT-Geräten.