Los investigadores de seguridad cibernética están llamando la atención sobre una ola continua de ataques vinculados a un grupo de amenazas rastreado como Raspberry Robin que está detrás de un malware de Windows con capacidades similares a las de un gusano.
Describiéndolo como una amenaza “persistente” y “propagadora”, Cybereason dijo observó una serie de víctimas en Europa.
Las infecciones involucran un gusano que se propaga a través de dispositivos USB extraíbles que contienen un archivo .LNK malicioso y aprovecha los dispositivos de almacenamiento conectado a la red (NAS) de QNAP comprometidos para el comando y control. Fue documentado por primera vez por investigadores de Red Canary en mayo de 2022.
También con nombre en código Gusano QNAP por Sekoia, el malware aprovecha un binario legítimo del instalador de Windows llamado “msiexec.exe” para descargar y ejecutar una biblioteca compartida maliciosa (DLL) desde un dispositivo QNAP NAS comprometido.
“Para que sea más difícil de detectar, Raspberry Robin aprovecha las inyecciones de procesos en tres procesos legítimos del sistema de Windows”, dijo el investigador de Cybereason Loïc Castel en un artículo técnico, y agregó que “se comunica con el resto de [the] infraestructura a través de los nodos de salida TOR”.
La persistencia en la máquina comprometida se logra haciendo modificaciones en el Registro de Windows para cargar la carga útil maliciosa a través del binario de Windows “rundll32.exe” en la fase de inicio.
La campaña, que se cree que data de septiembre de 2021, sigue siendo un misterio hasta ahora, sin pistas sobre el origen del actor de amenazas o sus objetivos finales.
La divulgación se produce cuando QNAP dijo que está investigando activamente una nueva ola de infecciones de ransomware Checkmate dirigidas a sus dispositivos, lo que lo convierte en el último de una serie de ataques después de AgeLockereCh0raix y DeadBolt.
“La investigación preliminar indica que los ataques de Checkmate a través de servicios para pymes expuesto a Internet, y emplea un ataque de diccionario para romper cuentas con contraseñas débiles”, dijo la compañía señalado en un aviso.
“Una vez que el atacante inicia sesión con éxito en un dispositivo, cifra los datos en las carpetas compartidas y deja una nota de rescate con el nombre de archivo “!CHECKMATE_DECRYPTION_README” en cada carpeta”.
Como precaución, la empresa taiwanesa recomienda a los clientes que no expongan los servicios SMB a Internet, mejoren la seguridad de la contraseña, realicen copias de seguridad periódicas y actualicen el sistema operativo QNAP a la última versión.