El gusano Raspberry Robin incorpora exploits de un día casi tan pronto como se desarrollan, para mejorar sus capacidades de escalada de privilegios.
Los investigadores de Check Point sospechan que los desarrolladores detrás de la herramienta de acceso inicial están contratando a traficantes de exploits en la Dark Web, lo que les permite incorporar rápidamente nuevos exploits para obtener privilegios a nivel del sistema antes de que dichos exploits se revelen al público y antes de que muchas organizaciones afectadas hayan parcheado sus sistemas asociados. vulnerabilidades.
“Es una pieza muy poderosa del programa que le da al atacante mucha más capacidad en términos de evasión y realización de acciones con mayores privilegios que en cualquier otro escenario”, explica Eli Smadja, director de grupo de Check Point.
Raspberry Robin: incorporando exploits más rápido ahora
Raspberry Robin se descubrió por primera vez en 2021 y se reveló en una publicación de blog de Red Canary el año siguiente. Desde entonces, sus desarrolladores se han vuelto mucho más proactivos y actualizaron su herramienta en una fracción del tiempo que solían tomar.
Consideremos, por ejemplo, una actualización temprana: cuando incorporó un exploit para CVE-2021-1732, una vulnerabilidad de escalada de privilegios con una puntuación “alta” de 7,8 sobre 10 en la escala CVSS. El error del controlador de Windows Win32k se reveló por primera vez en febrero de 2021, pero no se integró en Raspberry Robin hasta el año siguiente.
Compare esto con otra vulnerabilidad de escalada de privilegios de junio pasado: CVE-2023-29360, un error “alto” de 8,4 sobre 10 en el proxy del servicio de transmisión de Microsoft Stream. Raspberry Robin ya lo estaba explotando en agosto, mientras que un exploit público no saldría a la luz hasta el mes siguiente.
Entonces hubo CVE-2023-36802, un error similar en Microsoft Stream con una calificación CVSS de 7,8. Revelado por primera vez el 12 de septiembre, Raspberry Robin ya lo estaba explotando a principios de octubre, nuevamente antes de que se lanzara cualquier exploit público (los desarrolladores no merecen demasiado crédito en este caso, ya que un exploit había estado disponible en la Dark Web desde febrero). .)
En otras palabras, la progresión del tiempo que tarda el grupo en convertir las vulnerabilidades en armas después de la divulgación ha pasado de un año a dos meses y dos semanas.
Para explicar su rápido trabajo, Check Point sugiere que los desarrolladores de gusanos compran sus exploits a desarrolladores de un día en la Dark Web o los desarrollan ellos mismos. Ciertas desalineaciones entre los códigos de gusano y exploit sugieren que el primer escenario es más probable.
Una amenaza cibernética de acceso inicial eficaz y generalizada
En sólo su primer año activo, Raspberry Robin ya era uno de los gusanos más populares del mundo, con miles de infecciones por mes. Red Canary lo rastreó como la séptima amenaza más frecuente de 2022y sus números solo crecen mes tras mes.
Hoy en día, Raspberry Robin es una opción de acceso inicial popular para actores de amenazas como Evil CorpTA505 y más, contribuyendo a Infracciones importantes de organizaciones del sector público y privado..
“La mayoría de los principales programas maliciosos enumerados hoy utilizan gusanos para propagarse en las redes porque es muy útil: ahorra mucho trabajo duro al desarrollar estas capacidades usted mismo”, explica Smadja. “Por ejemplo, el acceso inicial a un sistema, eludir la seguridad y la infraestructura de comando y control: sólo hay que comprarlo, combinarlo y eso hace que el trabajo sea mucho más fácil”.
Esto es especialmente cierto, añade, “porque herramientas como Raspberry Robin siguen mejorando, utilizando nuevos días cero y días uno, mejorando su infraestructura y sus técnicas de evasión. Así que creo que nunca desaparecerá. Es un servicio increíble para una agresor.”
