Gestartet als Wurm, der über USB-Sticks verteilt wurde, ist Raspberry-Robin heute Teil eines komplexen Malware-Ökosystems. Dabei führt die Schadsoftware häufig die initiale Infizierung der Endpunkte eines Opfers durch, damit anschließend weitere Malware zwecks Lateral Movement (Infektion weiterer Systeme im Netz) und Rechteausweitung nachgeladen werden kann. Bekannte kriminelle Gruppierungen sind dafür bekannt, die Malware zu verwenden, um unter anderem auch die bereits thematisierte Ransomware von LockBit auszurollen.
Um wirksam zu bleiben und Erkennungsmechanismen zu umgehen, verändert sich die Malware kontinuierlich. Die Verwendung neuartiger Verbreitungsmethoden, wie dem Versenden von RAR-Dateien über Discord, und die kontinuierliche Weiterentwicklung von Bypass-Techniken stellen eine zusätzliche Herausforderung für den Schutz dar. Häufig sind es sogenannte 1-Day-Exploits, die sich Raspberry-Robin zunutze macht. Das bedeutet, dass Entwickler in kürzester Zeit auf neu entdeckte Sicherheitslücken reagieren, ihre Malware anpassen oder enge Beziehungen zu Exploit-Verkäufern pflegen, um die aktualisierte Malware zu verbreiten, noch bevor Opfer ihre Systeme aktualisieren können. Jüngst hat sich dies in zwei neuen 1-Days manifestiert, dessen weitere Erläuterung wir am Ende verlinkt haben.
Für uns hat das zur Folge, dass wir mit einer sich ständig verändernden Bedrohungslandschaft Schritt halten müssen. Neben präventiven Sicherheitsmaßnahmen, wie dem schnellen Einspielen von Patches, bleibt es wichtig, über reaktive Maßnahmen, etwa ein ausgeklügeltes Konzept für XDR (Extended Detection & Response) oder MDR (Managed Detection & Response) zu verfügen.
Einen Deep Dive zu den zuletzt verwendeten Schwachstellen durch Raspberry-Robin finden Sie hier:
https://research.checkpoint.com/2024/raspberry-robin-keeps-riding-the-wave-of-endless-1-days/