GETOVERX FORUM Community Support   ›   Malware Docs   ›   Fileless Malware   ›   Raspberry Robin (2021–2024)

  • 1 Vote(s) - 5 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Raspberry Robin (2021–2024)
mrwebfeeder
Super Moderator
******
Joined: Sep 2025
Posts: 144

Reputation: 11
#1
11-29-2025, 04:19 PM (This post was last modified: 12-07-2025, 05:00 PM by mrwebfeeder.)
Nombre: Raspberry Robin
(indica el nombre del malware, incluir alias si los tiene)

Categoría: Gusano / Loader para ransomware
(ej.: Ransomware, Infostealer, Troyano bancario, RAT, Loader/Downloader, etc.)

Fecha de descubrimiento: En torno a 2021 (campañas activas 2021–2024)

Comportamiento (lo que hace y archivos que infecta):
- Gusano moderno que se propaga principalmente a través de dispositivos USB removibles.
- Spreads via USB:
- Infecta memorias USB usando:
- Archivos de acceso directo (
Code:
.LNK
) maliciosos.
- Ejecutables camuflados o rutas engañosas en la unidad.
- El usuario hace doble clic pensando que abre una carpeta o archivo legítimo, pero en realidad ejecuta el loader.
- Loads ransomware payloads:
- Una vez ejecutado en la estación:
- Descarga o carga payloads adicionales desde Internet o desde infraestructura interna.
- Se ha observado como loader para ransomware y otras amenazas de alto impacto.
- Puede:
- Realizar reconocimiento básico del sistema.
- Establecer comunicaciones con C2 para recibir instrucciones o módulos extra.
- Archivos afectados:
- Dispositivos USB:
- Creación de accesos directos y/o ejecutables maliciosos en la raíz o carpetas visibles.
- Estaciones Windows:
- Ficheros temporales y artefactos del loader en rutas de usuario.
- No siempre cifra archivos por sí mismo, pero prepara el terreno para cargadores de ransomware u otras familias.

Persistencia:
- Describe cómo se mantiene en el sistema:
- Persistencia en el endpoint:
- Puede crear claves de inicio automático (Run/RunOnce) apuntando a scripts o binarios en rutas de usuario.
- Uso de tareas programadas para relanzar el loader o componentes auxiliares tras reinicio.
- Persistencia vía USB:
- Mientras las memorias USB comprometidas sigan en circulación:
- Cada conexión a nuevos equipos puede disparar nuevamente la cadena de infección.
- Abuso de PowerShell y ejecución fileless:
- En algunas variantes se apoya en PowerShell y binarios legítimos para ejecutar código en memoria sin dejar mucho rastro en disco.
- Esto le permite:
- Cargar payloads (incluido ransomware) de manera sigilosa.
- Evitar parte de las detecciones basadas únicamente en archivos.

Hash real de referencia (SHA-256):
- Añade un hash SHA-256 real de una muestra pública conocida del malware.
- Ejemplo de formato:
Code:
SHA256: 2ba2c3cfa461a3ffb82e0f848ad2df10bd5ef985e89cdb423f0cf3cf45b40c3c

Mitigación con GetOverX Shield v3.0.2.0:
Describe los pasos recomendados usando los módulos de GetOverX Shield:
  • Antivirus:
    Explica cómo usar el motor AV para detectar y eliminar el ejecutable principal y sus droppers.
    - USB behavioral scanning (AV):
    - Activar el análisis en tiempo real de dispositivos USB:
    - Escanear automáticamente cada nueva unidad removible al conectarse.
    - Detectar y bloquear:
    - Accesos directos
    Code:
    .LNK
    maliciosos.
    - Ejecutables y scripts sospechosos en la raíz del USB.
    - Ejecutar escaneos completos en:
    - Estaciones que hayan tenido contacto con USB sospechosos.
    - Directorios de usuario donde puedan residir droppers y loaders de Raspberry Robin.
    - Mantener firmas y reglas YARA enfocadas en:
    - Artefactos del loader.
    - Payloads asociados (incluyendo variantes de ransomware).

  • Firewall:
    Indica qué tipo de tráfico debe bloquearse (C2, dominios sospechosos, puertos, etc.) y si es recomendable aislar el host.
    - Limitar el tráfico saliente desde estaciones de usuario hacia:
    - Dominios/IPs no aprobados que puedan actuar como C2 o repositorios de payloads.
    - Monitorear y bloquear:
    - Conexiones hacia hosts desconocidos iniciadas por procesos de scripting (PowerShell, msiexec, etc.) disparados tras conectar un USB.
    - Aislar:
    - Equipos que muestren indicios de haber descargado o lanzado payloads de ransomware a través de esta cadena (por ejemplo, conexiones a múltiples dominios de malware tras uso de USB).

  • HIPS/EDR:
    Detalla qué comportamiento debe vigilarse:
    - Creación masiva de archivos (ransomware)
    - Acceso masivo a almacenes de credenciales (stealers)
    - Uso anómalo de PowerShell / scripts
    - Movimiento lateral, enumeración de red, etc.
    Incluye si se debe configurar respuesta automática (matar proceso, bloquear hash, etc.).
    - Block PowerShell fileless execution:
    - Configurar reglas para:
    - Bloquear o restringir severamente el uso de PowerShell en contexto de usuario estándar.
    - Detectar comandos con
    Code:
    -ExecutionPolicy Bypass
    ,
    Code:
    -EncodedCommand
    y uso de URLs remotas.
    - Registrar y bloquear procesos que:
    - Se disparen justo después de la conexión de un USB.
    - Ejecuten scripts sin interacción del usuario.
    - Otras detecciones:
    - Creación de nuevos ejecutables o accesos directos en la raíz de un USB desde equipos internos.
    - Intentos de ejecutar
    Code:
    autorun
    o ficheros del USB con nombres tipo “documento” pero que son EXE/LNK.
    - Respuesta recomendada:
    - Matar procesos de scripting sospechosos.
    - Bloquear hashes de loaders detectados.
    - Marcar el equipo como potencialmente preparado para despliegue de ransomware y forzar revisión adicional.

  • Sandbox:
    Explica cuándo es recomendable usar el módulo de Sandbox:
    - Antes de ejecutar adjuntos de correo
    - Antes de instalar software de procedencia dudosa
    - Para analizar muestras sospechosas en un entorno aislado
    - Sandbox autorun executables:
    - Enviar a Sandbox:
    - Ejecutables y accesos directos provenientes de USB que no se reconozcan como legítimos.
    - Observar si:
    - Intentan descargar módulos adicionales desde Internet.
    - Interactúan con PowerShell u otros LOLBins para cargar payloads en memoria.
    - Presentan patrones de pre-ransomware (reconocimiento, comprobación de entorno, contacto con C2).
    - Si se confirma comportamiento de Raspberry Robin/loader:
    - Bloquear esos archivos a nivel global.
    - Añadir sus hashes y patrones como indicadores de compromiso internos.

  • Medidas posteriores al incidente:
    Indica acciones adicionales:
    - Restaurar desde copias de seguridad offline
    - Cambiar contraseñas
    - Revisar accesos a cuentas sensibles (banca, VPN, paneles de hosting)
    - Revisión de herramientas de administración remota abusadas
    - Específicamente para Raspberry Robin:
    - Revisar todos los dispositivos USB usados en el entorno:
    - Limpiarlos con el AV de GetOverX Shield.
    - Eliminar accesos directos y ejecutables sospechosos.
    - Verificar:
    - Si se descargaron payloads de ransomware u otros malware en las estaciones.
    - Logs de EDR para movimientos posteriores (lateral movement, cifrado, etc.).
    - Reforzar políticas:
    - Uso controlado de USB (whitelists, cifrado y registros de uso).
    - Bloqueo de auto-ejecución y prevención de ejecución directa desde unidades removibles.

Notas opcionales:
- Raspberry Robin ilustra cómo un gusano basado en USB puede servir como eslabón inicial en cadenas de ataque complejas que terminan en ransomware corporativo, por lo que debe tratarse como incidente de alta criticidad, incluso si aún no se ha observado cifrado de archivos.
  Reply


Forum Jump:


Users browsing this thread: 1 Guest(s)