Cybersecurity-Forscher machen auf eine anhaltende Angriffswelle aufmerksam, die mit einem als Raspberry Robin bezeichneten Bedrohungscluster in Verbindung steht, der hinter einer Windows-Malware mit wurmähnlichen Fähigkeiten steckt.
Cybereason beschreibt die Bedrohung als „hartnäckig“ und „sich ausbreitend“ und hat eine Reihe von Opfern in Europa beobachtet.
Bei den Infektionen handelt es sich um einen Wurm, der sich über USB-Wechseldatenträger verbreitet, die eine bösartige .LNK-Datei enthalten, und der kompromittierte QNAP-NAS-Geräte (Network-Attached Storage) zur Steuerung nutzt. Er wurde erstmals im Mai 2022 von Forschern von Red Canary dokumentiert.
Die Malware, die von Sekoia auch als QNAP-Wurm bezeichnet wird, nutzt eine legitime Windows-Installationsdatei namens „msiexec.exe“, um eine bösartige gemeinsame Bibliothek (DLL) von einem kompromittierten QNAP NAS-Gerät herunterzuladen und auszuführen.
„Um die Entdeckung zu erschweren, nutzt Raspberry Robin Prozessinjektionen in drei legitime Windows-Systemprozesse“, schreibt Cybereason-Forscher Loïc Castel in einem technischen Bericht und fügt hinzu, dass er mit dem Rest der Infrastruktur über TOR-Exit-Nodes kommuniziert.
Die Persistenz auf dem kompromittierten Rechner wird durch Änderungen an der Windows-Registrierung erreicht, um die bösartige Nutzlast über die Windows-Binärdatei „rundll32.exe“ in der Startphase zu laden.
Die Kampagne, von der angenommen wird, dass sie bis September 2021 zurückreicht, ist bisher ein Rätsel geblieben, da es keine Hinweise auf die Herkunft der Bedrohung oder ihre Ziele gibt.
Die Enthüllung kommt zu einem Zeitpunkt, an dem QNAP erklärt hat, dass es aktiv eine neue Welle von Checkmate Ransomware-Infektionen untersucht, die auf seine Geräte abzielt und damit die letzte in einer Reihe von Angriffen nach AgeLocker, eCh0raix und DeadBolt ist.
„Vorläufige Untersuchungen deuten darauf hin, dass Checkmate über SMB-Dienste angreift, die dem Internet ausgesetzt sind, und einen Wörterbuchangriff einsetzt, um Konten mit schwachen Passwörtern zu knacken“, so das Unternehmen in einer Mitteilung.
„Sobald sich der Angreifer erfolgreich in ein Gerät eingeloggt hat, verschlüsselt er Daten in freigegebenen Ordnern und hinterlässt in jedem Ordner eine Lösegeldforderung mit dem Dateinamen „!CHECKMATE_DECRYPTION_README“.
Als Vorsichtsmaßnahmen empfiehlt das taiwanesische Unternehmen seinen Kunden, SMB-Dienste nicht dem Internet auszusetzen, die Passwortstärke zu erhöhen, regelmäßig Backups zu erstellen und das QNAP-Betriebssystem auf die neueste Version zu aktualisieren.