nouvelles (1)

Newsletter

Microsoft associe le malware Raspberry Robin aux attaques d’Evil Corp

Microsoft a découvert qu’un courtier d’accès qu’il suit en tant que DEV-0206 utilise le ver Windows Raspberry Robin pour déployer un téléchargeur de logiciels malveillants sur des réseaux où il a également trouvé des preuves d’activités malveillantes correspondant aux tactiques d’Evil Corp.

“Le 26 juillet 2022, des chercheurs de Microsoft ont découvert que le malware FakeUpdates était diffusé via des infections Raspberry Robin existantes”, a déclaré Microsoft. révélé Jeudi.

“L’activité FakeUpdates associée à DEV-0206 sur les systèmes affectés a depuis conduit à des actions de suivi ressemblant au comportement pré-ransomware de DEV-0243.”

Selon un avis de renseignement sur les menaces partagé avec les entreprises clientes, Microsoft a trouvé le malware Raspberry Robin sur les réseaux de centaines d’organisations d’un large éventail de secteurs industriels.

Félix Aimé Raspberry Robin tweet

Première repéré en septembre 2021 par les analystes du renseignement de Red Canary, il se propage via des périphériques USB infectés à d’autres périphériques sur le réseau d’une cible une fois déployé sur un système compromis.

Les découvertes de Redmond correspondent à celles de l’équipe d’ingénierie de détection de Red Canary, qui l’a également détecté sur les réseaux de clients des secteurs de la technologie et de la fabrication.

C’est la première fois que des chercheurs en sécurité trouvent des preuves de la façon dont les acteurs de la menace derrière Raspberry Robin prévoient d’exploiter l’accès qu’ils ont obtenu aux réseaux de leurs victimes à l’aide de ce ver.

Remise de DEV-0206 à Evil Corp
Transfert de DEV-0206 à Evil Corp (Microsoft)

Evil Corp, rançongiciel et contournement des sanctions

Corps maléfiquele groupe de cybercriminalité qui semble profiter de l’accès de Raspberry Robin aux réseaux d’entreprise (suivi par Microsoft sous le nom de DEV-0243), est actif depuis 2007 et est connu pour avoir poussé le malware Dridex et pour être passé au déploiement de ransomwares.

Du ransomware Locky et de sa propre souche de ransomware BitPaymer, le groupe de menaces a décidé d’installer son nouveau Logiciel de rançon WastedLocker à partir de juin 2019.

À partir de mars 2021, Evil Corp est passé à d’autres variétés connu sous le nom de rançongiciel Hades, Casier Araet Phoenix CryptoLockerenfin observé par Mandiant déployant un rançongiciel en tant qu’affilié de LockBit depuis la mi-2022.

Basculer entre les charges utiles de ransomware et adopter un rôle d’affilié Ransomware en tant que service (RaaS) fait partie des efforts d’Evil Corp pour échapper aux sanctions imposées par l’Office of Foreign Assets Control (OFAC) du département du Trésor américain pour avoir utilisé Dridex pour causer plus de 100 millions de dollars de dommages financiers.

Après avoir été sanctionnées par le gouvernement américain en 2019, les sociétés de négociation de rançongiciels ont refusé de faciliter le paiement de rançons pour les organisations touchées par les attaques de rançongiciel Evil Corp afin d’éviter des poursuites judiciaires ou des amendes de la part du département du Trésor américain.

L’utilisation de logiciels malveillants d’autres groupes permet également à Evil Corp de se distancer des outils connus pour permettre à leurs victimes de payer des rançons sans faire face risques associés à la violation des réglementations de l’OFAC.

Assumer un rôle d’affilié RaaS permettrait également à ses opérateurs d’étendre les opérations de déploiement de ransomwares du gang et à ses développeurs de logiciels malveillants avec suffisamment de temps libre et de ressources pour développer de nouveaux ransomwares, qui sont plus difficiles à relier aux opérations précédentes d’Evil Corp.

Facebook
Twitter
LinkedIn
Pinterest

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

ADVERTISEMENT