Microsoft: Raspberry Robin е ключов преносител на LockBit, Cl0p

Червеят е регистриран за първи път през май 2022г. и в момента е една от най-големите активни  платформи за разпространение на зловреден софтуер

Microsoft публикува разследването си за Raspberry Robin, като откри значителни връзки между червея и водещи кампании за рансъмуер, както и ключовата му роля в по-широка екосистема от зловреден софтуер.

Доказано е, че настоящата водеща кампания за рансъмуер LockBit отчасти е улеснена от червея Raspberry Robin, а закритият вече рансъмуер Cl0p, който беше друга от най-плодотворните кампании през 2021 и 2022г., също го е използвал за разгръщане на полезен товар.

През юли 2022г. изследователите наблюдават устройства, заразени с Raspberry Robin, да се инсталират със зловредния софтуер FakeUpdates, което води до дейност, приписвана на субекта на заплаха, проследен като DEV-0243 – група, свързана с рансъмуер, чиито действия се припокриват с тези на групата, проследена като EvilCorp от други изследователи в областта на сигурността.

През ноември 2021г. за пръв път е забелязано, че заразени с Raspberry Robin устройства разгръщат полезен товар на рансъмуера LockBit, а оттогава се наблюдава и пускане на образци на зловреден софтуер като IcedID, Bumblebee и Truebot.

Освен това през октомври 2022г. Microsoft наблюдава, че Raspberry Robin се използва в посткомпрометираща дейност, приписвана на друга група – DEV-0950. Широко използваният инструмент за тестване на проникването Cobalt Strike е бил успешно пуснат върху жертвите след заразяване с Raspberry Robin и това в крайна сметка е довело и до разгръщането на рансъмуера Cl0p.

„DEV-0950 традиционно използва фишинг, за да проведе по-голямата част от атаките си, така че това забележително преминаване към използване на Raspberry Robin им позволява да доставят полезен товар на съществуващите инфекции и да придвижат кампаниите си по-бързо до етапа на рансъмуер“, заявиха от Microsoft.

Данните на Microsoft сочат, че през последните 30 дни на близо 3000 устройства в почти 1000 организации е регистрирано поне едно предупреждение, свързано с полезния товар на Raspberry Robin.

Raspberry Robin беше публично разкрит през май 2022г. от фирмата за сигурност Red Canary, която го заклейми като широко разпространен червей. Оттогава той се е превърнал в една от най-големите активни в момента платформи за разпространение на зловреден софтуер, заявиха от Microsoft.

Microsoft заяви също, че е възможно участниците, които стоят зад кампаниите за зловреден софтуер, свързани с Raspberry Robin, да плащат на операторите на червея, за да инсталират зловреден софтуер, който може да доведе до допълнителни атаки.

„Веригата на заразяване на Raspberry Robin представлява объркваща и сложна карта от множество точки на заразяване, които могат да доведат до много различни резултати, дори в сценарии, при които два хоста са заразени едновременно“, заявиха от Microsoft.

„Участват множество компоненти; тяхното разграничаване може да бъде предизвикателство, тъй като нападателите, стоящи зад заплахата, са положили изключителни усилия, за да защитят зловредния софтуер на всеки етап със сложни механизми за зареждане. Тези нападатели също така се предават на други участници за някои от по-въздействащите етапи на атаката, като например разгръщането на ransomware.“

Microsoft също така заяви, че в момента знае и проследява поне четири входни вектора, използвани от Raspberry Robin за заразяване на машините на жертвите – вектори, които са свързани с активността на хакерите, свързани с ръчното натискане на клавиатурата. Крайната цел на тези действия най-вероятно е била разгръщането на софтуер за откуп, добави тя.

Технологичният гигант подчерта, че разработването на надеждна стратегия за защита и откриване и инвестирането в хигиена на удостоверенията, най-малки привилегии и сегментиране на мрежата са ключови за предотвратяване на въздействието на тези сложни заплахи.

Източник: itpro.co.uk

Подобни публикации

26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
26 септември 2023

Разликите между локалната и облачната киберсигу...

Разликата между управлението на киберсигурността в локални и облачн...
26 септември 2023

Нов вариант на BBTok е насочен към над 40 банк...

Активна кампания за зловреден софтуер, насочена към Латинска Америк...
25 септември 2023

Правилата за API на TikTok затрудняват анализа ...

Според учени новите условия за достъп на изследователите до API на ...
25 септември 2023

Акаунтът на Буретин в X беше хакнат

Хакери компрометират акаунта на Виталик Буретин в X, като открадват...
Бъдете социални
Още по темата
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
23/09/2023

Нарушението на данните на Н...

Американската образователна организация с нестопанска цел...
22/09/2023

NCSC: Защо атаките за кибер...

44CON 2023 – Лондон – Според...
Последно добавени
26/09/2023

WatchGuard получи най-висок...

WatchGuard е обявена за лидер в...
26/09/2023

WatchGuard с награда за отл...

Имаме удоволствието да споделим, че WatchGuard...
26/09/2023

Рансъмуерът Akira мутира и ...

Откакто се появи като заплаха през...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!