Microsoft, DEV-0206 olarak izlediği bir Access Broker'ın, ağlara bir kötü amaçlı yazılım indiricisini dağıtmak için Raspberry Robin Windows solucanını kullandığını keşfetti ve burada Evil Corp taktiklerini eşleştiren kötü amaçlı etkinlik kanıtı buldu.
Microsoft Perşembe günü yaptığı açıklamada, "26 Temmuz 2022'de Microsoft Araştırmacılar, FakeUpdates kötü amaçlı yazılımlarının mevcut ahududu robin enfeksiyonları aracılığıyla teslim edildiğini keşfetti."
"Etkilenen sistemler üzerindeki DEV-0206 ile ilişkili sahte aktivite, o zamandan beri Dev-0243 ön-işçilik öncesi davranışa benzeyen takip eylemlerine yol açtı."
Kurumsal müşterilerle paylaşılan bir tehdit istihbarat danışmanlığına göre, Microsoft, çok çeşitli endüstri sektörlerinden yüzlerce kuruluşun ağlarında Raspberry Robin kötü amaçlı yazılım buldu.
İlk olarak Eylül 2021'de Red Canary Intelligence analistleri tarafından tespit edilen, enfekte USB cihazları aracılığıyla bir hedefin ağındaki diğer cihazlara uzatılır.
Redmond'un bulguları, teknoloji ve imalat sektörlerindeki müşterilerin ağlarında da tespit eden Red Canary'nin algılama mühendislik ekibiyle eşleşiyor.
Bu, güvenlik araştırmacıları, Raspberry Robin'in arkasındaki tehdit aktörlerinin bu solucanı kullanarak kurbanlarının ağlarına kazandıkları erişimi nasıl kullanmayı planladıklarına dair kanıt buldular.
Raspberry Robin'in kurumsal ağlara erişiminden yararlanıyor gibi görünen siber suç grubu olan Evil Corp (Microsoft tarafından Dev-0243 olarak izlenmiştir), 2007'den beri aktiftir ve Dridex kötü amaçlı yazılımları itmek ve fidye yazılımlarını dağıtmak için bilinir.
Locky fidye yazılımı ve kendi Bitpaymer fidye yazılımı suşu'ndan, tehdit grubu Haziran 2019'dan itibaren yeni boşalma fidye yazılımını kurmak için harekete geçti.
Mart 2021'den itibaren Evil Corp, Hades fidye yazılımı, Macaw Locker ve Phoenix Cryptolocker olarak bilinen diğer suşlara taşındı ve nihayet maniant'ın fidye yazılımını 2022 ortasından beri kilitli bir bağlı kuruluş olarak dağıtarak gözlemlendi.
Fidye yazılımı yükleri arasında geçiş yapmak ve bir fidye yazılımı hizmeti (RAAS) bağlı kuruluşu rolü arasında geçiş yapmak, Evil Corp'un ABD Hazine Departmanı tarafından getirilen yaptırımlardan kaçınma çabalarının bir parçasıdır. .
2019 yılında ABD hükümeti tarafından onaylandıktan sonra, fidye yazılımı müzakere şirketleri, ABD Hazine Departmanından yasal işlem veya para cezalarıyla karşılaşmaktan kaçınmak için Evil Corp fidye yazılımı saldırılarının vurduğu kuruluşlar için fidye ödemelerini kolaylaştırmayı reddetti.
Diğer grupların kötü amaçlı yazılımlarını kullanmak, Evil Corp'un kurbanlarının OFAC düzenlemelerine ilişkin risklerle karşılaşmadan fidye ödemelerine izin vermek için bilinen araçlardan uzaklaşmasına izin verir.
Bir RAAS bağlı kuruluş rolünün de operatörlerinin çetenin fidye yazılımı dağıtım işlemlerini ve kötü amaçlı yazılım geliştiricilerini, Evil Corp'un önceki operasyonlarına bağlantı kurmak için daha zor olan yeni fidye yazılımı geliştirmek için yeterli boş zaman ve kaynakla genişletmesine izin verecektir.
Microsoft, yüzlerce Windows Networks'te Raspberry Robin solucanını bulur
Google Drive şimdi sizi şüpheli kimlik avı, kötü amaçlı yazılım belgeleri konusunda uyarıyor
Küba Ransomware, güncellenmiş şifreleyiciyle zorla kurbanlara geri döner
Ransomware'de Hafta - 3 Haziran 2022 - Yaptırımlardan Kaçınma
Evil Corp, yaptırımlardan kaçınmak için Lockbit Fidye Yazılımına geçiş yapar
Kaynak: Bleeping Computer