Microsoft, DEV-0206 olarak izlediği bir erişim aracısının, kötü amaçlı yazılım indiricisini ağlara dağıtmak için Raspberry Robin Windows solucanını kullandığını ve burada Evil Corp taktikleriyle eşleşen kötü amaçlı etkinlik kanıtı bulduğunu keşfetti.
Microsoft Perşembe günü yaptığı açıklamada, “26 Temmuz 2022’de Microsoft araştırmacıları, FakeUpdates kötü amaçlı yazılımının mevcut Raspberry Robin enfeksiyonları yoluyla teslim edildiğini keşfetti” dedi.
“Etkilenen sistemlerdeki DEV-0206 ile ilişkili FakeUpdates etkinliği, o zamandan beri DEV-0243 fidye yazılımı öncesi davranışına benzeyen takip eden eylemlere yol açtı.”
Kurumsal müşterilerle paylaşılan bir tehdit istihbaratı danışmanlığına göre Microsoft, çok çeşitli endüstri sektörlerinden yüzlerce kuruluşun ağlarında Raspberry Robin kötü amaçlı yazılımı buldu.
İlk olarak Eylül 2021’de Red Canary istihbarat analistleri tarafından fark edilen bu virüs, güvenliği ihlal edilmiş bir sistemde konuşlandırıldıktan sonra hedefin ağındaki diğer cihazlara virüslü USB cihazları aracılığıyla yayılır.
Redmond’un bulguları, teknoloji ve üretim sektörlerindeki müşterilerin ağlarında da tespit eden Red Canary’nin Tespit Mühendisliği ekibinin bulgularıyla örtüşüyor.
Güvenlik araştırmacıları ilk kez Raspberry Robin’in arkasındaki tehdit aktörlerinin bu solucanı kullanarak kurbanlarının ağlarına eriştikleri erişimi nasıl sömürmeyi planladıklarına dair kanıt buldular.
Evil Corp, fidye yazılımı ve yaptırımlardan kaçınma
Raspberry Robin’in kurumsal ağlara erişiminden yararlanıyor gibi görünen siber suç grubu Evil Corp (Microsoft tarafından DEV-0243 olarak izleniyor), 2007’den beri aktif ve Dridex kötü amaçlı yazılımını zorlaması ve fidye yazılımı dağıtmasına geçmesiyle biliniyor.
Locky fidye yazılımından ve kendi BitPaymer fidye yazılımı türünden, tehdit grubu Haziran 2019’dan itibaren yeni WastedLocker fidye yazılımını yüklemek için harekete geçti.
Mart 2021’den itibaren Evil Corp, Hades fidye yazılımı, Macaw Locker ve Phoenix CryptoLocker olarak bilinen diğer türlere geçti ve sonunda Mandiant tarafından 2022’nin ortalarından bu yana LockBit iştiraki olarak fidye yazılımı dağıtıyor.
Fidye yazılımı yükleri arasında geçiş yapmak ve bir Hizmet olarak Fidye Yazılımı (RaaS) iştiraki rolünü benimsemek, Evil Corp’un ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından Dridex’i 100 milyon doların üzerinde mali zarara yol açması nedeniyle uygulanan yaptırımlardan kaçınma çabalarının bir parçasıdır. .
2019’da ABD hükümeti tarafından yaptırıma tabi tutulduktan sonra, fidye yazılımı müzakere firmaları, ABD Hazine Bakanlığı’ndan yasal işlem veya para cezalarıyla karşılaşmamak için Evil Corp fidye yazılımı saldırılarından etkilenen kuruluşlar için fidye ödemelerini kolaylaştırmayı reddetti.
Diğer grupların kötü amaçlı yazılımlarını kullanmak, ayrıca Evil Corp’un bilinen araçlardan uzaklaşmasını sağlayarak kurbanlarının OFAC düzenlemelerini ihlal etme riskleriyle karşı karşıya kalmadan fidye ödemesine olanak tanır.
Bir RaaS üyesi rolü üstlenmek, operatörlerinin çetenin fidye yazılımı dağıtım operasyonlarını ve kötü amaçlı yazılım geliştiricilerini, Evil Corp’un önceki operasyonlarına bağlanması daha zor olan yeni fidye yazılımı geliştirmek için yeterli boş zamana ve kaynağa sahip olmasına da olanak tanır.