Microsoft предупреждает, что вредоносное ПО Raspberry Robin становится все опаснее

Microsoft предупреждает, что вредоносное ПО Raspberry Robin становится все опаснее

1 ноября 2022 г.

Вредоносная программа Raspberry Robin используется для доставки деструктивного кода всех видов, в том числе программ-вымогателей, Microsoft предупредила, что конечные точки скомпрометированы.

Это кажется, что вредоносное ПО, впервые обнаруженное в конце 2021 года и чье окончание в то время было неизвестно, превратилось в Инфекционная служба доступна для всех, у кого есть наличные для оплаты.

Исследователи кибербезопасности из Microsoft опубликовали подробный сообщение в блоге, в котором они описывают Raspberry Robin как «часть сложной и взаимосвязанной вредоносной экосистемы» со ссылками на другие семейства вредоносных программ и альтернативные методы заражения.

Заражение по найму

Тот, кто стоит за Raspberry Robin, был занят в течение последних нескольких недель, поскольку, согласно данным Microsoft Defender for Endpoint, почти 3000 устройств в 1000 организаций получили по крайней мере одно оповещение, связанное с полезной нагрузкой Raspberry Robin, за последние 30 дней.

Полезная нагрузка отличается, как пояснила компания, от вредоносных программ FakeUpdates, которые привели к возможной активности EvilCorp, до IceID, Bumblebee и Truebot. Это все июль 2022 года. 

Однако в октябре 2022 года Microsoft также обнаружила, что Raspberry Robin используется FIN11 (также известной как TA505, группа разработчиков банковского трояна Dridex и программы-вымогателя Locky). Компания объяснила, что эта деятельность приводила к компрометации Cobalt Strike практическими действиями на клавиатуре, иногда с заражением Truebot между этапами Raspberry Robin и Cobalt Strike. Вслед за маяком Cobalt Strike группа развернула программу-вымогатель Clop.

Учитывая все обстоятельства, Microsoft пришла к выводу, что группа, стоящая за Raspberry Robin, берет плату за развертывание различных вредоносных программ и программ-вымогателей на конечных точках своих жертв.

"Учитывая взаимосвязанный характер киберпреступной экономики, вполне возможно, что субъекты, стоящие за этими кампаниями вредоносного ПО, связанным с Raspberry Robin, обычно распространяемыми с помощью других средств, таких как вредоносная реклама или электронная почта, платят операторам Raspberry Robin за установки вредоносного ПО", заключает отчет.

Raspberry Robin был впервые были обнаружены, когда исследователи из компании Red Canary обнаружили "кластер вредоносной активности". Вредоносное ПО обычно распространяется в автономном режиме через зараженные USB-накопители. Проанализировав зараженный флэш-накопитель, исследователи обнаружили, что червь распространяется на новые устройства через вредоносный файл .LNK.

PREVIOUS ARTICLE
NEXT ARTICLE