Червеят е регистриран за първи път през май 2022г. и в момента е една от най-големите активни платформи за разпространение на зловреден софтуер
Microsoft публикува разследването си за Raspberry Robin, като откри значителни връзки между червея и водещи кампании за рансъмуер, както и ключовата му роля в по-широка екосистема от зловреден софтуер.
Доказано е, че настоящата водеща кампания за рансъмуер LockBit отчасти е улеснена от червея Raspberry Robin, а закритият вече рансъмуер Cl0p, който беше друга от най-плодотворните кампании през 2021 и 2022г., също го е използвал за разгръщане на полезен товар.
През юли 2022г. изследователите наблюдават устройства, заразени с Raspberry Robin, да се инсталират със зловредния софтуер FakeUpdates, което води до дейност, приписвана на субекта на заплаха, проследен като DEV-0243 – група, свързана с рансъмуер, чиито действия се припокриват с тези на групата, проследена като EvilCorp от други изследователи в областта на сигурността.
През ноември 2021г. за пръв път е забелязано, че заразени с Raspberry Robin устройства разгръщат полезен товар на рансъмуера LockBit, а оттогава се наблюдава и пускане на образци на зловреден софтуер като IcedID, Bumblebee и Truebot.
Освен това през октомври 2022г. Microsoft наблюдава, че Raspberry Robin се използва в посткомпрометираща дейност, приписвана на друга група – DEV-0950. Широко използваният инструмент за тестване на проникването Cobalt Strike е бил успешно пуснат върху жертвите след заразяване с Raspberry Robin и това в крайна сметка е довело и до разгръщането на рансъмуера Cl0p.
„DEV-0950 традиционно използва фишинг, за да проведе по-голямата част от атаките си, така че това забележително преминаване към използване на Raspberry Robin им позволява да доставят полезен товар на съществуващите инфекции и да придвижат кампаниите си по-бързо до етапа на рансъмуер“, заявиха от Microsoft.
Данните на Microsoft сочат, че през последните 30 дни на близо 3000 устройства в почти 1000 организации е регистрирано поне едно предупреждение, свързано с полезния товар на Raspberry Robin.
Raspberry Robin беше публично разкрит през май 2022г. от фирмата за сигурност Red Canary, която го заклейми като широко разпространен червей. Оттогава той се е превърнал в една от най-големите активни в момента платформи за разпространение на зловреден софтуер, заявиха от Microsoft.
Microsoft заяви също, че е възможно участниците, които стоят зад кампаниите за зловреден софтуер, свързани с Raspberry Robin, да плащат на операторите на червея, за да инсталират зловреден софтуер, който може да доведе до допълнителни атаки.
„Веригата на заразяване на Raspberry Robin представлява объркваща и сложна карта от множество точки на заразяване, които могат да доведат до много различни резултати, дори в сценарии, при които два хоста са заразени едновременно“, заявиха от Microsoft.
„Участват множество компоненти; тяхното разграничаване може да бъде предизвикателство, тъй като нападателите, стоящи зад заплахата, са положили изключителни усилия, за да защитят зловредния софтуер на всеки етап със сложни механизми за зареждане. Тези нападатели също така се предават на други участници за някои от по-въздействащите етапи на атаката, като например разгръщането на ransomware.“
Microsoft също така заяви, че в момента знае и проследява поне четири входни вектора, използвани от Raspberry Robin за заразяване на машините на жертвите – вектори, които са свързани с активността на хакерите, свързани с ръчното натискане на клавиатурата. Крайната цел на тези действия най-вероятно е била разгръщането на софтуер за откуп, добави тя.
Технологичният гигант подчерта, че разработването на надеждна стратегия за защита и откриване и инвестирането в хигиена на удостоверенията, най-малки привилегии и сегментиране на мрежата са ключови за предотвратяване на въздействието на тези сложни заплахи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.