Raspberry Robin kötü amaçlı yazılımı, fidye yazılımı da dahil olmak üzere her türlü yıkıcı kodu güvenliği ihlal edilmiş uç noktalara göndermek için kullanılıyor. (yeni sekmede açılır)Microsoft uyardı.
Görünüşe göre ilk olarak 2021’in sonlarında keşfedilen ve o sırada son oyunu bilinmeyen kötü amaçlı yazılım, nakit ödemesi olan herkesin erişebileceği bir enfeksiyon hizmetine dönüştü.
Microsoft’tan siber güvenlik araştırmacıları ayrıntılı bir rapor yayınladı. Blog yazısı (yeni sekmede açılır) Raspberry Robin’i, diğer kötü amaçlı yazılım ailelerine bağlantılar ve alternatif bulaşma yöntemleriyle birlikte “karmaşık ve birbirine bağlı bir kötü amaçlı yazılım ekosisteminin parçası” olarak tanımlıyorlar.
Kiralık enfeksiyon
Microsoft Defender for Endpoint verilerine göre, Raspberry Robin’in arkasında kim varsa, son birkaç haftadır meşguldü, 1000 kuruluşta yaklaşık 3.000 cihaz son 30 gün içinde en az bir Raspberry Robin yüküyle ilgili uyarı yaşadı.
Şirket ayrıca, olası EvilCorp etkinliğine yol açan FakeUpdates kötü amaçlı yazılımından IceID, Bumblebee ve Truebot’a kadar yüklerin farklı olduğunu açıkladı. Bunların hepsi Temmuz 2022.
Ancak Ekim 2022’de Microsoft, Ahududu Robin’in FIN11 (AKA TA505, – Dridex bankacılık truva atı ve Locky fidye yazılımının arkasındaki grup) tarafından kullanıldığını da tespit etti. Şirket, bazen Raspberry Robin ve Cobalt Strike aşamaları arasında bir Truebot enfeksiyonu ile birlikte, bu aktivitenin Cobalt Strike uygulamalı klavye uzlaşmalarına yol açtığını açıkladı. Cobalt Strike sinyalinin ardından grup, Clop fidye yazılımını dağıttı.
Her şey düşünüldüğünde, Microsoft, Raspberry Robin’in arkasındaki grubun, kurbanlarının uç noktalarına çeşitli kötü amaçlı yazılım ve fidye yazılımları dağıtmak için ödeme aldığı sonucuna vardı.
Rapor, “Siber suç ekonomisinin birbirine bağlı doğası göz önüne alındığında, Raspberry Robin ile ilgili bu kötü amaçlı yazılım kampanyalarının arkasındaki aktörlerin – genellikle kötü amaçlı reklamlar veya e-posta gibi başka yollarla dağıtılan – kötü amaçlı yazılım yüklemeleri için Raspberry Robin operatörlerine ödeme yapıyor olması olasıdır.”
Raspberry Robin, ilk olarak Red Canary’den araştırmacılar bir “kötü niyetli etkinlik kümesi” keşfettiğinde tanımlandı. Kötü amaçlı yazılım genellikle virüslü USB sürücüler aracılığıyla çevrimdışı olarak dağıtılır. Araştırmacılar, virüslü bir flash sürücüyü analiz ettikten sonra, solucanın kötü amaçlı bir .LNK dosyası aracılığıyla yeni cihazlara yayıldığını keşfettiler.
- En iyi güvenlik duvarlarıyla trafiği takip edin (yeni sekmede açılır) dışarıda