Η Microsoft ανακάλυψε ότι ένας access broker που παρακολουθείται ως DEV-0206 χρησιμοποιεί το Windows worm Raspberry Robin για να αναπτύξει ένα malware downloader σε δίκτυα όπου βρήκε και στοιχεία κακόβουλης δραστηριότητας που ταιριάζουν με τις τακτικές της Evil Corp.

Δείτε επίσης: Το ομοσπονδιακό δικαστικό σύστημα των ΗΠΑ επλήγη από μια περίπλοκη κυβερνοεπίθεση

«Στις 26 Ιουλίου 2022, ερευνητές της Microsoft ανακάλυψαν ότι το malware FakeUpdates παραδίδεται μέσω υπαρχουσών μολύνσεων από το Raspberry Robin», αποκάλυψε η Microsoft την Πέμπτη.

«Η δραστηριότητα FakeUpdates που σχετίζεται με το DEV-0206 στα επηρεαζόμενα συστήματα οδήγησε έκτοτε σε επακόλουθες ενέργειες που μοιάζουν με τη συμπεριφορά του DEV-0243 πριν από το ransomware.»

Δείτε επίσης: Ransomware: Τα λύτρα μειώνονται καθώς λιγότερα θύματα επιλέγουν να πληρώσουν

Σύμφωνα με ένα threat intelligence advisory που κοινοποιήθηκε σε εταιρικούς πελάτες, η Microsoft εντόπισε το malware Raspberry Robin στα δίκτυα εκατοντάδων οργανισμών από ένα ευρύ φάσμα τομέων της βιομηχανίας.

Το malware που εντοπίστηκε για πρώτη φορά τον Σεπτέμβριο του 2021 από αναλυτές πληροφοριών Red Canary, εξαπλώνεται μέσω μολυσμένων συσκευών USB σε άλλες συσκευές στο δίκτυο ενός στόχου, αφού αναπτυχθεί σε ένα παραβιασμένο σύστημα.

Τα ευρήματα της Microsoft ταιριάζουν με αυτά της ομάδας Detection Engineering της Red Canary, η οποία το εντόπισε και στα δίκτυα πελατών στους τομείς της τεχνολογίας και της κατασκευής.

Αυτή είναι η πρώτη φορά που οι ερευνητές ασφαλείας βρήκαν στοιχεία για το πώς οι απειλητικοί παράγοντες πίσω από το Raspberry Robin σχεδιάζουν να εκμεταλλευτούν την πρόσβαση που απέκτησαν στα δίκτυα των θυμάτων τους χρησιμοποιώντας αυτό το worm.

Evil Corp, ransomware και αποφυγή κυρώσεων

Η Evil Corp, η ομάδα εγκλήματος στον κυβερνοχώρο που φαίνεται να εκμεταλλεύεται την πρόσβαση του Raspberry Robin σε εταιρικά δίκτυα (που παρακολουθείται από τη Microsoft ως DEV-0243), είναι ενεργή από το 2007 και είναι γνωστή για την προώθηση του malware Dridex και για τη μετάβαση στην ανάπτυξη ransomware.

Από το Locky ransomware και το δικό της στέλεχος ransomware BitPaymer, η ομάδα μετακινήθηκε για να εγκαταστήσει το νέο WastedLocker ransomware ξεκινώντας από τον Ιούνιο του 2019.

Από τον Μάρτιο του 2021, η Evil Corp μετακόμισε σε άλλα στελέχη γνωστά ως Hades ransomware, Macaw Locker και Phoenix CryptoLocker, και τελικά παρατηρήθηκε από τη Mandiant να αναπτύσσει ransomware ως LockBit affiliate από τα μέσα του 2022.

Δείτε επίσης: Google και Apple υπό έρευνα για scam crypto apps στα καταστήματα εφαρμογών

Η εναλλαγή μεταξύ των ransomware payloads και η υιοθέτηση ενός ρόλου affiliate Ransomware as a Service (RaaS) αποτελούν μέρος των προσπαθειών της Evil Corp να αποφύγει τις κυρώσεις που επιβλήθηκαν από το Office of Foreign Assets Control (OFAC) του Υπουργείου Οικονομικών των ΗΠΑ για τη χρήση του Dridex για πρόκληση οικονομικών ζημιών άνω των 100 εκατομμυρίων δολαρίων.

Αφού επιβλήθηκαν κυρώσεις από την κυβέρνηση των ΗΠΑ το 2019, οι εταιρείες διαπραγμάτευσης ransomware αρνήθηκαν να διευκολύνουν τις πληρωμές λύτρων για οργανισμούς που επλήγησαν από επιθέσεις ransomware της Evil Corp για να αποφύγουν νομικές ενέργειες ή πρόστιμα από το Υπουργείο Οικονομικών των ΗΠΑ.

Η χρήση κακόβουλου λογισμικού άλλων ομάδων επιτρέπει στην Evil Corp να αποστασιοποιείται από τα γνωστά εργαλεία που επιτρέπουν στα θύματά τους να πληρώνουν λύτρα χωρίς να αντιμετωπίζουν κινδύνους που σχετίζονται με την παραβίαση των κανονισμών της OFAC.

Πηγή πληροφοριών: bleepingcomputer.com