Ahududu Robin siber solucan operasyonu, Microsoft telemetrisine göre son 30 gün içinde yaklaşık 1000 kuruluşta yaklaşık 3.000 cihaza bulaştı ve tehdit yeni bir şeye dönüşüyor gibi görünüyor.
Raspberry Robin ilk olarak Mayıs ayında tespit edildi, virüslü USB sürücüler aracılığıyla hedeflere bulaştı ve diğer uç noktalara solucan bulaştı – ancak daha sonra uykuda kaldı. Bu, Microsoft güvenlik araştırmacılarının Raspberry Robin’in FakeUpdates kötü amaçlı yazılımını yuvalandığı cihazlara aktardığını gördüğü Temmuz ayında değişti. Etkinliğin daha fazla araştırılması, kötü şöhretli Dridex Trojan ve Evil Corp (diğer adıyla DEV-0243) fidye yazılımı çetesi ile bazı altyapı örtüşmelerini ortaya çıkardı.
O zamandan beri Raspberry Robin, IcedID, Bumblebee ve Truebot’u dağıtmaya başladı. Microsoft güncellemesi 27 Ekim’de, araştırmacılar Ekim ayında Clop fidye yazılımı enfeksiyonlarına neden olan kayda değer bir dizi saldırıyı ortaya çıkardı. Araştırmacılar, tehdidin ilk USB erişim vektörünün de ötesine geçtiğini ve şu anda cihazlarda satın alma için en az dört farklı yöntem kullanabildiğini belirtti.
Bilgi işlem devi, taviz sonrası Clop etkinliğini DEV-0950 — diğer adıyla FIN11 veya TA505 — olarak takip ettiği bir gruba bağlıyor ve Raspberry Robin’in daha geniş siber suç ekonomisinde kendini kurduğunu gösteriyor.
Microsoft araştırmacıları, “DEV-0950, kurbanlarının çoğunu elde etmek için geleneksel olarak kimlik avı kullanır, bu nedenle Raspberry Robin’i kullanmaya yönelik bu kayda değer geçiş, mevcut enfeksiyonlara yükleri teslim etmelerini ve kampanyalarını fidye yazılımı aşamalarına daha hızlı taşımalarını sağlar.”
“Siber suç ekonomisinin birbirine bağlı doğası göz önüne alındığında, bu Raspberry Robin ile ilgili kötü amaçlı yazılım kampanyalarının arkasındaki aktörlerin – genellikle kötü amaçlı reklamlar veya e-posta gibi başka yollarla dağıtılan – kötü amaçlı yazılım yüklemeleri için Raspberry Robin operatörlerine ödeme yapıyor olması olasıdır.”