Raspberry Robin, сложный загрузчик вредоносного ПО, также известный как Roshtyak, продолжает свою кампанию против систем Windows с расширенными возможностями и методами обхода. Этот универсальный загрузчик, обладающий поразительной способностью к адаптации, стал кошмаром для систем безопасности компаний по всему миру.
Михаил Спицын, киберэксперт лаборатории стратегического развития компании «Газинформсервис», отметил, что эффективная защита от таких продвинутых угроз включает в себя как технические меры, так и строгие организационные процедуры.
Raspberry Robin, обнаруженный в конце 2022 года, не является конечной угрозой сам по себе, а скорее выступает в роли «курьера», доставляющего в корпоративные сети разнообразные вредоносные инструменты — от вымогателей до шпионского ПО — по заказу злоумышленников. Эта особенность делает его особенно опасным, поскольку его «полезная нагрузка» может меняться, адаптируясь к целям атакующих.
Михаил Спицын выделяет ключевые аспекты этой угрозы:
— во-первых, USB до сих пор остаётся удобным и почти неконтролируемым каналом передачи данных между офисами и подрядчиками; даже одно заражённое устройство даёт злоумышленнику точку входа.
— во-вторых, гибкая архитектура Raspberry Robin делает его не конечной вредоносной целью, а «курьером»: он привозит в сеть то, что закажет оператор, — от шифровальщиков до шпионских программ.
— в-третьих, постоянная эволюция шифрования и обфускации позволяет ему опережать классические антивирусы и подпись-ориентированные IDS. Защита строится на сочетании технических и организационных мер, и вот тут в игру вступает центр мониторинга GSOC, который усиливает эту оборону сразу на нескольких уровнях.
«GSOC круглосуточно собирает телеметрию со всех конечных точек и сетевых сегментов, сравнивает её с актуальной TI и тут же реагирует, если на рабочей станции запускается подозрительный процесс с USB. Инструменты реагирования на конечных точках, которыми пользуется SOC, выстраивают дерево процессов и позволяют мгновенно увидеть источник заражения, модули поведенческой аналитики отмечают нетипичную активность в сети, а аналитики корректируют правила, чтобы подобный вектор больше не сработал. Таким образом время обнаружения таких угроз и реагирования на них сокращается с часов до минут», — пояснил эксперт.