A partire da giovedì scorso (27/10) e per tutto il fine settimana, tanto è stato scritto sulla ricerca portata avanti dal team security di Microsoft. Tuttavia alcune affermazioni e deduzioni in merito non sembrano essere corrette.
Questo post per fare un punto rapido e senza fronzoli, sul contenuto del report, ripreso da molteplici testate e organizzazioni di tutto il mondo (compreso il nostro CSIRT, che ne riporta alcuni dettagli in maniera poco corretta, come mi è stato fatto notare da alcuni attenti ricercatori che l’hanno letto).
Raspberry Robin Worm
Ciò che è stato analizzato è che le infezioni del worm Raspberry Robin, sono in aumento negli ultimi mesi. Il malware, inizialmente diffuso tramite unità USB esterne, ora utilizza metodi di infezione aggiuntivi e collabora con altre famiglie di malware (anche ransomware) nei suoi recenti attacchi informatici.
Studiato per la prima volta nel settembre 2021, Raspberry Robin è stato identificato come parte di un complesso sistema di malware interconnesso, che ora si sta diffondendo a macchia d’olio.
Si fa notare che si è diffuso appunto, su quasi 3.000 sistemi appartenenti a circa 1.000 organizzazioni nell’ultimo mese.
Molti di questi attacchi sono collegati a un gruppo di minacce tracciato come DEV-0950, che nei suoi attacchi distribuisce il ransomware Cl0p.
Sebbene Raspberry Robin non sia stato osservato con alcun exploit post-infezione, ha iniziato a funzionare come loader per altri malware, in particolare per DEV-0950.
Ultime scoperte
Secondo Microsoft, DEV-0950 sta utilizzando il ransomware Cl0p per crittografare la rete delle vittime, che sono già infettate dal worm Raspberry Robin.
A settembre, DEV-0950 ha iniziato a utilizzare Raspberry Robin per l’infezione iniziale, rilasciando il ransomware Cl0p e altri payload di seconda fase come IcedID, Bumblebee e Truebot su dispositivi compromessi.
Qui doverosa una precisazione. IcedID non è un ransomware; è un malware, della famiglia dei trojan bancari. Bumblebee non è un ransomware; è un malware utilizzato per compromettere i servizi di dominio (Active Directory), normalmente veicolato da file ISO apparentemente, spesso sfruttato da ransomware gang per l’accesso iniziale (es. Conti), ma non per l’operazione di crittografia. Anche Truebot non è un ransomware. Malware di tipo trojan per operare spionaggio nel device infetto: es. catturare screenshots del desktop.
Da ottobre, le infezioni da worm Raspberry Robin sembrano essere accompagnate dalle infezioni di Cobalt Strike e Truebot per implementare attacchi da parte del ransomware Cl0p.
L’attività dannosa di DEV-0950 si sovrappone ai gruppi di hacking tracciati come FIN11 e TA505, già noti per gli attacchi del ransomware Cl0p.
Questi cambiamenti e aggiornamenti di attività criminale che sono stati ora identificati, indicano che gli operatori di Raspberry Robin stanno vendendo l’accesso iniziale ai vari sistemi compromessi, a gruppi di ransomware e affiliati. Queste bande a loro volta possono facilmente stabilire un punto d’appoggio tranquillo e pianificare la loro prossima mossa, avendo parte della strada già spianata.