Microsoft reveló el viernes una posible conexión entre el gusano basado en USB Raspberry Robin y un infame grupo ruso de ciberdelincuencia rastreado como Evil Corp.
El gigante tecnológico dijo observó que el malware FakeUpdates (también conocido como SocGholish) se entregaba a través de infecciones existentes de Raspberry Robin el 26 de julio de 2022.
Se sabe que Raspberry Robin, también llamado QNAP Worm, se propaga desde un sistema comprometido a través de dispositivos USB infectados que contienen archivos .LNK maliciosos a otros dispositivos en la red de destino.
La campaña, que fue detectada por primera vez por Red Canary en septiembre de 2021, ha sido esquiva en el sentido de que no se ha documentado ninguna actividad posterior ni existe ningún vínculo concreto que la vincule a un actor o grupo de amenazas conocido.
La divulgación marca la primera evidencia de acciones posteriores a la explotación llevadas a cabo por el actor de amenazas al aprovechar el malware para obtener acceso inicial a una máquina con Windows.
«Desde entonces, la actividad FakeUpdates asociada con DEV-0206 en los sistemas afectados ha llevado a acciones de seguimiento que se asemejan al comportamiento previo al ransomware DEV-0243», señaló Microsoft.
DEV-0206 es el apodo de Redmond para un corredor de acceso inicial que implementa un marco de JavaScript malicioso llamado FakeUpdates al atraer a los objetivos para que descarguen actualizaciones de navegador falsas.
El malware, en esencia, actúa como conducto para otras campañas que hacen uso de este acceso comprado a DEV-0206 para distribuir otras cargas útiles, principalmente cargadores Cobalt Strike atribuidos a DEV-0243, que también se conoce como Evil Corp.
También llamado Gold Drake e Indrik Spider, el grupo de piratería con motivación financiera históricamente ha operado el malware Dridex y desde entonces ha cambiado a implementar una serie de familias de ransomware a lo largo de los años, incluida la más reciente LockBit.
«El uso de una carga útil de RaaS por parte del grupo de actividad ‘EvilCorp’ es probablemente un intento de DEV-0243 de evitar la atribución a su grupo, lo que podría desalentar el pago debido a su estado sancionado», dijo Microsoft.
No está claro de inmediato qué conexiones exactas pueden tener Evil Corp, DEV-0206 y DEV-0243 entre sí.
Katie Nickels, directora de inteligencia de Red Canary, dijo en un comunicado compartido con The Hacker News que los hallazgos, si se demuestra que son correctos, llenan un «vacío importante» con el modus operandi de Raspberry Robin.
“Seguimos viendo actividad de Raspberry Robin, pero no hemos podido asociarla con ninguna persona, empresa, entidad o país específico”, dijo Nickels.
«En última instancia, es demasiado pronto para decir si Evil Corp es responsable o está asociada con Raspberry Robin. El ecosistema Ransomware-as-a-Service (RaaS) es complejo, donde diferentes grupos criminales se asocian entre sí para lograr un variedad de objetivos. Como resultado, puede ser difícil desenredar las relaciones entre las familias de malware y la actividad observada».