los petirrojo frambuesa<\/b> El gusano se est\u00e1 convirtiendo en un malware de acceso como servicio para implementar otras cargas \u00fatiles, incluidos IcedID, Bumblebee, TrueBot (tambi\u00e9n conocido como Silence) y Clop ransomware.<\/p>\n
Es “parte de un ecosistema de malware complejo e interconectado, con enlaces a otras familias de malware y m\u00e9todos de infecci\u00f3n alternativos m\u00e1s all\u00e1 de su propagaci\u00f3n original en la unidad USB”, el Centro de inteligencia de amenazas de seguridad de Microsoft (MSTIC) dijo<\/a> en un escrito detallado.<\/p>\n Raspberry Robin, tambi\u00e9n llamado QNAP Worm debido al uso de servidores de almacenamiento QNAP comprometidos para el comando y control, es el nombre que la empresa de ciberseguridad Red Canary le da a un malware que se propaga a los sistemas Windows a trav\u00e9s de unidades USB infectadas.<\/p>\n MSTIC est\u00e1 al tanto del grupo de actividad detr\u00e1s de las infecciones de Raspberry Robin basadas en USB como DEV-0856<\/strong>agregando que tiene conocimiento de al menos cuatro puntos de entrada confirmados que tienen el objetivo final probable de implementar ransomware.<\/p>\n El equipo de ciberseguridad del gigante tecnol\u00f3gico dijo que Raspberry Robin ha evolucionado de un gusano ampliamente distribuido sin acciones posteriores a la infecci\u00f3n observadas a una de las plataformas de distribuci\u00f3n de malware m\u00e1s grandes actualmente activas.<\/p>\n Seg\u00fan los datos de telemetr\u00eda recopilados de Microsoft Defender para Endpoint, aproximadamente 3000 dispositivos que abarcan casi 1000 organizaciones han encontrado al menos una alerta relacionada con la carga \u00fatil de Raspberry Robin en los \u00faltimos 30 d\u00edas.<\/p>\n El \u00faltimo desarrollo se suma a la creciente evidencia de actividades posteriores a la explotaci\u00f3n vinculadas a Raspberry Robin, que, en julio de 2022, se descubri\u00f3 actuando como un conducto para entregar el malware FakeUpdates (tambi\u00e9n conocido como SocGholish).<\/p>\n Esta actividad de FakeUpdates tambi\u00e9n ha sido seguida por un comportamiento previo al ransomware atribuido a un grupo de amenazas rastreado por Microsoft como DEV-0243 (tambi\u00e9n conocido como Evil Corp), el infame sindicato ruso de ciberdelincuencia detr\u00e1s del troyano Dridex y un marco de comando y control (C2). llamado TeslaGun.<\/p>\n Microsoft, en octubre de 2022, dijo que detect\u00f3 el uso de Raspberry Robin en una actividad posterior al compromiso atribuida a un actor de amenazas diferente al que ha llamado DEV-0950 y que se superpone con grupos monitoreados p\u00fablicamente como FIN11 y TA505.<\/p>\n Si bien los nombres FIN11 y TA505 a menudo se usan indistintamente, Mandiant (anteriormente FireEye), propiedad de Google describe<\/a> FIN11 como un subconjunto de actividad bajo el grupo TA505<\/a>.<\/p>\n Tambi\u00e9n vale la pena se\u00f1alar la combinaci\u00f3n de Evil Corp y TA505<\/a>aunque Proofpoint eval\u00faa<\/a> “TA505 ser\u00e1 diferente de Evil Corp”, lo que sugiere que estos grupos comparten puntos en com\u00fan t\u00e1cticos parciales entre s\u00ed.<\/p>\n “Desde una infecci\u00f3n de Raspberry Robin, la actividad DEV-0950 condujo a compromisos pr\u00e1cticos con el teclado de Cobalt Strike, a veces con una infecci\u00f3n de TrueBot observada entre la etapa de Raspberry Robin y Cobalt Strike”, dijo el investigador. “La actividad culmin\u00f3 con la implementaci\u00f3n del ransomware Clop”.<\/p>\n Microsoft tambi\u00e9n teoriz\u00f3 que los actores detr\u00e1s de estas campa\u00f1as de malware relacionadas con Raspberry Robin est\u00e1n pagando a los operadores del gusano por la entrega de la carga \u00fatil, lo que les permite alejarse del phishing como vector para adquirir nuevas v\u00edctimas.<\/p>\n Adem\u00e1s, un actor ciberdelincuente denominado DEV-0651 ha sido vinculado a la distribuci\u00f3n de otro artefacto llamado Fauppod a trav\u00e9s del abuso de servicios leg\u00edtimos en la nube, que exhibe similitudes de c\u00f3digo con Raspberry Robin y tambi\u00e9n elimina el malware FakeUpdates.<\/p>\n El fabricante de Windows se\u00f1al\u00f3 adem\u00e1s con confianza media que Fauppod representa el eslab\u00f3n m\u00e1s antiguo conocido en la cadena de infecci\u00f3n de Raspberry Robin para propagar este \u00faltimo a trav\u00e9s de archivos LNK a unidades USB.<\/p>\n Para agregar al rompecabezas de ataque, IBM Security X-Force, a principios del mes pasado, identific\u00f3 similitudes funcionales entre un componente de carga utilizado en la cadena de infecci\u00f3n de Raspberry Robin y el malware Dridex. Microsoft atribuye esta conexi\u00f3n a nivel de c\u00f3digo a que Fauppod adopt\u00f3 los m\u00e9todos de Dridex para evitar la ejecuci\u00f3n en entornos espec\u00edficos.<\/p>\n “La cadena de infecci\u00f3n de Raspberry Robin es confusa y mapa complicado<\/a> de m\u00faltiples puntos de infecci\u00f3n que pueden conducir a muchos resultados diferentes, incluso en escenarios donde dos hosts se infectan simult\u00e1neamente”, dijo Microsoft.<\/p>\n <\/p>\n<\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1667014640_259_Operadores-de-Raspberry-Robin-que-venden-a-los-ciberdelincuentes-acceso.jpg\" "\\"petirrojo")
<\/div>\n![\"petirrojo](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/1667014640_382_Operadores-de-Raspberry-Robin-que-venden-a-los-ciberdelincuentes-acceso.jpg\" "\\"petirrojo")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/div>\n