Zprávy

Microsoft upozorňuje na stovky sítí se systémem Windows napadených malwarovým červem Raspberry Robin

Raspberry Robin se šíří prostřednictvím zařízení USB, která se připojují k adresám v síti Tor – jeho původ však zůstává neznámý. Podle soukromého zpravodajství o hrozbách společnosti Microsoft infikoval malwarový program s názvem Raspberry Robin stovky sítí Windows v různých odvětvích.

Ačkoli se útoky ransomwaru často objevují na titulních stranách novin, nebezpečí, které představuje malware, může být stejně škodlivé a je dalším důvodem, proč investovat do spolehlivých bezpečnostních řešení.

Skupina odpovědná za tento malware je v současné době neznámá, stejně jako její motivace a konečný cíl.

Společnost Microsoft vydala neveřejnou zprávu o hrozbách, ve které informuje organizace, že červ s názvem Raspberry Robin infikoval „stovky sítí se systémem Windows“. S informací přišel server BleepingComputer.

Raspberry Robin se šíří prostřednictvím vyměnitelných externích zařízení USB. Jinými slovy, aby uživatel infikoval zařízení, musí do něj připojit USB a kliknout na škodlivý soubor, který je v něm obsažen. Využije se příkazový řádek systému Windows a na daném zařízení se spustí škodlivý kód – poté se kontaktuje příkazový a řídicí server a stáhnou se další škodlivé soubory.

Ke spuštění tohoto kódu jsou použity další legitimní programy systému Windows – včetně nástrojů jako „fodhelper“, „msiexec“ a „odbcconf“ – a poté se červ pokusí připojit k síti Tor.

Kde se Raspberry Robin vzal

Červ s názvem Raspberry Robin se poprvé objevil již v září 2021 zpravodajskými analytiky společnosti Red Canary, ačkoli většina aktivit připisovaných tomuto červu probíhá od ledna 2022. Bezpečnostní výzkumníci jej pozorovali především v technologických a výrobních sítích.

Společnost Sekoia zabývající se kybernetickou bezpečností – která jej nazývá „QNAP Worm“ – sledovala červa také v listopadu loňského roku. Společnost Sekoia uvedla, že používá „kompromitovaná zařízení QNAP jako příkazové a řídicí servery“, a pozorovala ho jako aktivního v několika francouzských sítích. Na to, že malware zkoumá řada bezpečnostních týmů, však zůstává poměrně záhadný.

„Tento červ využívá k šíření soubory LNK přebírající ikony vyměnitelných zařízení (např. síťové sdílené soubory, zařízení USB). Tyto soubory LNK využívají známé techniky, aby z napadeného zařízení stáhly a spustily balíček MSI obsahující škodlivou knihovnu.“ – bezpečnostní tým Sekoia.

Jak již bylo zmíněno, společnost Microsoft zaznamenala, že se připojuje k adresám v síti Tor, ale ve skutečnosti nezneužil přístup k sítím, do kterých pronikl, přestože ukazuje, že může používat nástroje v rámci operačního systému Windows.

Společnost Sekoia navíc ve své zprávě o malwaru poznamenala, že „jeho hlavní kód je poměrně sofistikovaný a použitá infrastruktura je rozsáhlá“, což vyvolává více otázek než odpovědí o povaze samotné hrozby.

Společnost Microsoft na druhou stranu uvádí, že našla škodlivé artefakty související s červem, které byly vytvořeny již v roce 2019.

Jak se chránit?

Ačkoli se podobné hrozby zdají být rozsáhlé a nebezpečné, existuje několik věcí, které mohou firmy i jednotlivci udělat, aby se ochránili a minimalizovali plochu útoku na firemní nebo domácí síť.

První z nich je informovat zaměstnance – a tedy i sebe – o nejnovějších hrozbách a zavést povinná školení o kybernetické bezpečnosti a bezpečnosti dat a používání spolehlivých bezpečnostních řešení.

Zdroj: tech.co