Werbung
Dass Nutzer unbekannte USB-Sticks oder -Festplatten nicht einfach in den PC stecken sollen, dürfte mittlerweile hinreichend bekannt sein. Allerdings müssen Nutzer ebenfalls vorsichtig sein, an welchen Endgeräten der eigene USB-Stick genutzt wird. Aktuell haben Analysten von Red Canary eine neue Windows-Malware entdeckt, die sich über externe Medien verbreitet. Die als Raspberry Robin bezeichnete Schadsoftware ist zudem in der Lage, sich wurmartig weiter zu verbreiten. Erstmals wurde die Malware im September 2021 von Sekoia erfasst. Das Cybersecurity-Unternehmen bezeichnete die Software damals noch als “QNAP-Wurm”.
Red Canarys Detection-Engineering-Team konnte den Wurm bereits in der freien Wildbahn entdecken. Unter anderem bei Unternehmen, die im Technologie- und Fertigungssektor ansässig sind. Um den Rechner mit Raspberry Robin zu infizieren, reicht es aus, einen verseuchten USB-Stick anzuschließen.
Datenschutzhinweis für Twitter
An dieser Stelle möchten wir Ihnen einen Twitter Feed zeigen. Ihre Daten zu schützen, liegt uns aber am Herzen: Twitter setzt durch das Einbinden des Applets Cookies auf ihrem Rechner, mit welchen sie eventuell getracked werden können. Wenn Sie dies zulassen möchten, klicken Sie einfach auf diesen Feed. Der Inhalt wird anschließend geladen und Ihnen angezeigt.Ihr Hardwareluxx-Team
Tweets ab jetzt direkt anzeigen
Die Command-and-Control-Server (C2) werden höchstwahrscheinlich auf kompromittierten QNAP-Geräten betrieben. Da NAS-Systeme in der Regel im 24/7-Betrieb laufen, eignen sich diese ideal für C2-Server. Raspberry Robin verwendet die msiexec.exe, um eine externe Netzwerkkommunikation herzustellen. Allerdings sind noch nicht alle Geheimnisse der Malware gelüftet. "In erster Linie wissen wir nicht, wie oder wo Raspberry Robin externe Laufwerke infiziert. Wir wissen auch nicht, warum Raspberry Robin eine bösartige DLL installiert", so die Forscher. Somit bleibt unklar, welche weiteren Gefahren von der Malware ausgehen können. Möglich wäre, dass es sich hierbei um einen Testballon handelt und es in Zukunft zu weiteren Angriffen kommt.
Weitere technische Informationen über den Raspberry-Robin-Wurm, einschließlich der Indikatoren für eine Kompromittierung (IOCs), finden sich im Bericht von Red Canary.
Dieser Fall zeigt erneut, dass man seine NAS-Geräte keinesfalls ungeschützt am Internet betreiben sollte. Erst kürzlich hatte QNAP eine weitere Sicherheitslücke gemeldet. Die als kritisch eingestufte Schwachstelle wurde unter der Kennung CVE-2022-27588 erfasst und ermöglicht es Angreifern aus der Ferne Code auszuführen.