Червеят е регистриран за първи път през май 2022г. и в момента е една от най-големите активни  платформи за разпространение на зловреден софтуер

Microsoft публикува разследването си за Raspberry Robin, като откри значителни връзки между червея и водещи кампании за рансъмуер, както и ключовата му роля в по-широка екосистема от зловреден софтуер.

Доказано е, че настоящата водеща кампания за рансъмуер LockBit отчасти е улеснена от червея Raspberry Robin, а закритият вече рансъмуер Cl0p, който беше друга от най-плодотворните кампании през 2021 и 2022г., също го е използвал за разгръщане на полезен товар.

През юли 2022г. изследователите наблюдават устройства, заразени с Raspberry Robin, да се инсталират със зловредния софтуер FakeUpdates, което води до дейност, приписвана на субекта на заплаха, проследен като DEV-0243 – група, свързана с рансъмуер, чиито действия се припокриват с тези на групата, проследена като EvilCorp от други изследователи в областта на сигурността.

През ноември 2021г. за пръв път е забелязано, че заразени с Raspberry Robin устройства разгръщат полезен товар на рансъмуера LockBit, а оттогава се наблюдава и пускане на образци на зловреден софтуер като IcedID, Bumblebee и Truebot.

Освен това през октомври 2022г. Microsoft наблюдава, че Raspberry Robin се използва в посткомпрометираща дейност, приписвана на друга група – DEV-0950. Широко използваният инструмент за тестване на проникването Cobalt Strike е бил успешно пуснат върху жертвите след заразяване с Raspberry Robin и това в крайна сметка е довело и до разгръщането на рансъмуера Cl0p.

„DEV-0950 традиционно използва фишинг, за да проведе по-голямата част от атаките си, така че това забележително преминаване към използване на Raspberry Robin им позволява да доставят полезен товар на съществуващите инфекции и да придвижат кампаниите си по-бързо до етапа на рансъмуер“, заявиха от Microsoft.

Данните на Microsoft сочат, че през последните 30 дни на близо 3000 устройства в почти 1000 организации е регистрирано поне едно предупреждение, свързано с полезния товар на Raspberry Robin.

Raspberry Robin беше публично разкрит през май 2022г. от фирмата за сигурност Red Canary, която го заклейми като широко разпространен червей. Оттогава той се е превърнал в една от най-големите активни в момента платформи за разпространение на зловреден софтуер, заявиха от Microsoft.

Microsoft заяви също, че е възможно участниците, които стоят зад кампаниите за зловреден софтуер, свързани с Raspberry Robin, да плащат на операторите на червея, за да инсталират зловреден софтуер, който може да доведе до допълнителни атаки.

„Веригата на заразяване на Raspberry Robin представлява объркваща и сложна карта от множество точки на заразяване, които могат да доведат до много различни резултати, дори в сценарии, при които два хоста са заразени едновременно“, заявиха от Microsoft.

„Участват множество компоненти; тяхното разграничаване може да бъде предизвикателство, тъй като нападателите, стоящи зад заплахата, са положили изключителни усилия, за да защитят зловредния софтуер на всеки етап със сложни механизми за зареждане. Тези нападатели също така се предават на други участници за някои от по-въздействащите етапи на атаката, като например разгръщането на ransomware.“

Microsoft също така заяви, че в момента знае и проследява поне четири входни вектора, използвани от Raspberry Robin за заразяване на машините на жертвите – вектори, които са свързани с активността на хакерите, свързани с ръчното натискане на клавиатурата. Крайната цел на тези действия най-вероятно е била разгръщането на софтуер за откуп, добави тя.

Технологичният гигант подчерта, че разработването на надеждна стратегия за защита и откриване и инвестирането в хигиена на удостоверенията, най-малки привилегии и сегментиране на мрежата са ключови за предотвратяване на въздействието на тези сложни заплахи.

Източник: itpro.co.uk

Подобни публикации

18 април 2025

Глобална компания за събития стана жертва на се...

Legends International, водещ доставчик на услуги за спортни, развле...
17 април 2025

Китайска APT група използва усъвършенстван бекд...

Нови версии на бекдора BrickStorm, използван при компрометирането н...
17 април 2025

Крис Кребс напуска SentinelOne заради войната с...

Бившият директор на Агенцията за киберсигурност и инфраструктурна с...
17 април 2025

Apple пусна спешни ъпдейти за iOS и macOS

На 17 април (сряда) Apple публикува извънредни ъпдейти за операцион...
17 април 2025

Starlink превзе интернет пазара в Нигерия, но н...

В началото на 2023 г. Нигерия стана първата африканска държава, в к...
16 април 2025

CISA гарантира непрекъсната работа на програмат...

Американската Агенция за киберсигурност и сигурност на инфраструкту...
16 април 2025

Програмата CVE може да остане без финансиране

На 16 април 2025 г. изтича финансирането от страна на федералното п...
16 април 2025

Рязък скок в компрометирането на лични данни: 1...

Според последни данни от Identity Theft Resource Center (ITRC), бро...
16 април 2025

Google и Mozilla пуснаха спешни ъпдейти за сигу...

На 15 април 2025 г. технологичните гиганти Google и Mozilla обявиха...
Бъдете социални
Още по темата
15/04/2025

Кибератаки: 56% от случаите...

В нов доклад на Sophos, фирма...
10/04/2025

CISA призовава за спешна по...

Американската агенция за киберсигурност CISA призова...
09/04/2025

"Чудовищен" по обем Patch T...

Във вторник Microsoft изпрати спешни актуализации...
Последно добавени
18/04/2025

Глобална компания за събити...

Legends International, водещ доставчик на услуги...
17/04/2025

Китайска APT група използва...

Нови версии на бекдора BrickStorm, използван...
17/04/2025

Крис Кребс напуска Sentinel...

Бившият директор на Агенцията за киберсигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!