Червеят е регистриран за първи път през май 2022г. и в момента е една от най-големите активни  платформи за разпространение на зловреден софтуер

Microsoft публикува разследването си за Raspberry Robin, като откри значителни връзки между червея и водещи кампании за рансъмуер, както и ключовата му роля в по-широка екосистема от зловреден софтуер.

Доказано е, че настоящата водеща кампания за рансъмуер LockBit отчасти е улеснена от червея Raspberry Robin, а закритият вече рансъмуер Cl0p, който беше друга от най-плодотворните кампании през 2021 и 2022г., също го е използвал за разгръщане на полезен товар.

През юли 2022г. изследователите наблюдават устройства, заразени с Raspberry Robin, да се инсталират със зловредния софтуер FakeUpdates, което води до дейност, приписвана на субекта на заплаха, проследен като DEV-0243 – група, свързана с рансъмуер, чиито действия се припокриват с тези на групата, проследена като EvilCorp от други изследователи в областта на сигурността.

През ноември 2021г. за пръв път е забелязано, че заразени с Raspberry Robin устройства разгръщат полезен товар на рансъмуера LockBit, а оттогава се наблюдава и пускане на образци на зловреден софтуер като IcedID, Bumblebee и Truebot.

Освен това през октомври 2022г. Microsoft наблюдава, че Raspberry Robin се използва в посткомпрометираща дейност, приписвана на друга група – DEV-0950. Широко използваният инструмент за тестване на проникването Cobalt Strike е бил успешно пуснат върху жертвите след заразяване с Raspberry Robin и това в крайна сметка е довело и до разгръщането на рансъмуера Cl0p.

„DEV-0950 традиционно използва фишинг, за да проведе по-голямата част от атаките си, така че това забележително преминаване към използване на Raspberry Robin им позволява да доставят полезен товар на съществуващите инфекции и да придвижат кампаниите си по-бързо до етапа на рансъмуер“, заявиха от Microsoft.

Данните на Microsoft сочат, че през последните 30 дни на близо 3000 устройства в почти 1000 организации е регистрирано поне едно предупреждение, свързано с полезния товар на Raspberry Robin.

Raspberry Robin беше публично разкрит през май 2022г. от фирмата за сигурност Red Canary, която го заклейми като широко разпространен червей. Оттогава той се е превърнал в една от най-големите активни в момента платформи за разпространение на зловреден софтуер, заявиха от Microsoft.

Microsoft заяви също, че е възможно участниците, които стоят зад кампаниите за зловреден софтуер, свързани с Raspberry Robin, да плащат на операторите на червея, за да инсталират зловреден софтуер, който може да доведе до допълнителни атаки.

„Веригата на заразяване на Raspberry Robin представлява объркваща и сложна карта от множество точки на заразяване, които могат да доведат до много различни резултати, дори в сценарии, при които два хоста са заразени едновременно“, заявиха от Microsoft.

„Участват множество компоненти; тяхното разграничаване може да бъде предизвикателство, тъй като нападателите, стоящи зад заплахата, са положили изключителни усилия, за да защитят зловредния софтуер на всеки етап със сложни механизми за зареждане. Тези нападатели също така се предават на други участници за някои от по-въздействащите етапи на атаката, като например разгръщането на ransomware.“

Microsoft също така заяви, че в момента знае и проследява поне четири входни вектора, използвани от Raspberry Robin за заразяване на машините на жертвите – вектори, които са свързани с активността на хакерите, свързани с ръчното натискане на клавиатурата. Крайната цел на тези действия най-вероятно е била разгръщането на софтуер за откуп, добави тя.

Технологичният гигант подчерта, че разработването на надеждна стратегия за защита и откриване и инвестирането в хигиена на удостоверенията, най-малки привилегии и сегментиране на мрежата са ключови за предотвратяване на въздействието на тези сложни заплахи.