Stuxnet style

Raspberry Robin: i dispositivi USB removibili nel mirino del worm

Raspberry Robin sfrutta Microsoft Standard Installer e altri processi legittimi per comunicare con gli attori malevoli ed eseguire comandi pericolosi come scaricare DLL malevole. Ecco come proteggersi dal malware che s’ispira all’approccio di Stuxnet

10 Mag 2022
C
Mirella Castigli

Giornalista

Raspberry Robin è il nuovo worm che colpisce i dispositivi USB removibili. “Rappresenta un ritorno al passato per quanto concerne i malware”, commenta Pierguido Iezzi, esperto di cyber security e CEO di Swascan. “La diffusione tramite vettore fisico, come HD esterni, ma soprattutto chiavette USB, era una tecnica pressoché scomparsa”.

Ecco tutti i dettagli e come proteggersi.

Raspberry Robin attacca i dispositivi USB removibili

In origine fu Stuxnet, ma adesso ritorna l’approccio contro le memorie esterne. Secondo i ricercatori di Red Canary Intelligence, Raspberry Robin è un wormable malware che risulta attivo dallo scorso settembre.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity

Si fa strada nelle memorie USB per entrare nelle macchine Windows e sfruttare Microsoft Standard Installer e altri processi legittimi per installare file malevoli anche su altre macchine (da qui la sua caratteristica “wormable”).

Il malware è collegato a un cluster dedicato ad attività malevole che l’azienda di cyber security Sekoia ha tracciato come “QNAP worm”, perché fa leva su Windows Installer per raggiungere domini associati a QNAP e così scaricare DLL malevole.

Raspberry Robin sfrutta, quindi, il processo msiexec.exe per comunicare fuori dall’infrastruttura che spesso include dispositivi QNAP, usando le richieste HTTP che contengono i nomi dei device e le User ID delle vittime. Lo hanno affermato Lauren Podber e Stef Rand di Red Canary in un post pubblicato sul blog.

Perché il cyber crime recupera un vecchio approccio

A inizio anno l’FBI ha avvertito che l’attore della minaccia ha preso di mira le aziende nei settori della difesa, dei trasporti e delle assicurazioni nell’ultima metà del 2021, spedendo chiavette USB alle aziende nel loro mirino, approfittando del lavoro ibrido in pandemia.

“Forse l’approccio ‘datato’ impiegato da questo malware”, continua Iezzi, “può suggerire un suo utilizzo come arma contro tutti quelle reti (air gapped) che non hanno possibilità – per design – d’interagire con l’esterno”.

“Come non dimenticare d’altronde il caso di Stuxnet, il devastante malware progettato per danneggiare i sistemi SCADA che veniva introdotto nell’ambiente bersaglio proprio tramite una chiavetta USB infetta, negando così qualsiasi beneficio di un network air gapped”, continua l’esperto di cyber security.

“Il fatto che Raspberry Robin faccia leva su Windows non deve sorprendere”, continua ancora Iezzi, “vista la pressoché ubiquità delle varie versioni del sistema operativo della casa di Seattle in qualsiasi ambiente. Il particolare più interessante resta comunque il metodo di diffusione, sicuramente poco efficace in termini di costo/beneficio per attacchi su larga scala, ma che probabilmente trova la sua nicchia proprio nell’attaccare bersagli che si sono dotati di network disconnessi dall’internet pubblico come centri militari, centri di ricerca o laboratori nucleari (quest’ultimo caso era proprio quello della vittima iniziale del ‘cugino’ Stuxnet)”.

Come proteggersi

I cyber criminali hanno riesumato una vecchia tattica per distribuire dispositivi USB con malware, per infettare sistemi e così diffondere l’infezione dentro una rete aziendale, altrimenti difficilmente accessibile.

“Viste le limitazioni del vettore di attacco”, conclude Iezzi, “in questo caso la difesa principale passa per awareness e best practice. Raspberry Robin non sarà mai in grado di colpire la nostra organizzazione (nella sua forma fisica attuale) se il personale è conscio dei rischi che si corrono a introdurre una chiavetta usb non sicura all’interno di un device aziendale e soprattutto se la stessa non è stata fornita dall’azienda stessa”.

La tecnica può infatti essere duplice: gli attaccanti sfruttano una chiavetta USB malevola o inviano una chiavetta USB per poi sferrare un vettore di attacco. In entrambi i casi, occorre avere una visione d’insieme dell’operazione malevola nel proprio ambiente.

Infatti, l’obiettivo è individuare gli indicatori di comportamento (Indicators of Behaviour o IoB) che permettono di identificare e bloccare tempestivamente le attività degli autori della MalOp.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4