微软发现它跟踪为 DEV-0206 的访问代理使用 Raspberry Robin Windows 蠕虫在网络上部署恶意软件下载器,并在该网络上发现了与 Evil Corp 策略相匹配的恶意活动的证据。

微软周四透露:“2022 年 7 月 26 日,微软研究人员发现 FakeUpdates 恶意软件是通过现有的 Raspberry Robin 感染传播的。”

“此后,受影响系统上与 DEV-0206 相关的 FakeUpdates 活动导致了类似于 DEV-0243 预勒索软件行为的后续行动。”

Red_bird.jpg

根据与企业客户共享的威胁情报咨询,微软 在来自各行各业的数百家组织的网络中发现了 Raspberry Robin 恶意软件。

Red Canary 情报分析师于 2021 年 9 月首次发现,一旦部署在受感染的系统上,它就会通过受感染的 USB 设备传播到目标网络上的其他设备。

Redmond 的发现与 Red Canary 的检测工程团队的发现相匹配,该团队还在技术和制造领域的客户网络中检测到它。

这是安全研究人员首次发现 Raspberry Robin 背后的威胁行为者如何计划利用他们使用该蠕虫病毒访问受害者网络的证据。

DEV-0206 移交给 Evil Corp (Microsoft)

DEV-0206 移交给 Evil Corp (Microsoft)

Evil Corp、勒索软件和逃避制裁

网络犯罪集团Evil Corp似乎利用了 Raspberry Robin 对企业网络的访问(被微软跟踪为 DEV-0243),自 2007 年以来一直很活跃,并以推动 Dridex 恶意软件和转向部署勒索软件而闻名。

从 Locky 勒索软件和它自己的 BitPaymer 勒索软件变种,威胁组织已从 2019 年 6 月开始安装其新的 WastedLocker 勒索软件 。

从 2021 年 3 月起,Evil Corp 转向了其他 被称为 Hades 勒索软件、 Macaw Locker和 Phoenix CryptoLocker的菌株,最终被 Mandiant 观察到自 2022 年年中以来将勒索软件部署为 LockBit 附属公司。

在勒索软件负载之间切换和采用勒索软件即服务 (RaaS) 附属角色是 Evil Corp 逃避美国财政部外国资产控制办公室 (OFAC) 因使用 Dridex 造成超过 1 亿美元经济损失而实施的制裁措施的一部分.

在 2019 年被美国政府制裁后,勒索软件谈判公司拒绝为受到 Evil Corp 勒索软件攻击的组织支付赎金,以避免面临美国财政部的法律诉讼或罚款。

使用其他组织的恶意软件还可以让 Evil Corp 与已知工具保持距离,让他们的受害者支付赎金,而不会面临 与违反 OFAC 法规相关的风险。

假设 RaaS 附属角色还可能允许其运营商扩展该团伙的勒索软件部署业务,并为其恶意软件开发人员提供足够的空闲时间和资源来开发新的勒索软件,这很难与 Evil Corp 以前的业务联系起来。

Tags: none

我有个想法