Microsoft mengatakan kelompok ancaman yang dilacak sebagai DEV-0950 menggunakan ransomware Clop untuk mengenkripsi jaringan korban yang sebelumnya terinfeksi worm Raspberry Robin.
Aktivitas jahat DEV-0950 tumpang-tindih dengan kelompok kejahatan dunia maya bermotivasi finansial yang dilacak sebagai FIN11 dan TA505, yang dikenal karena menyebarkan ransomware Clop payloads pada sistem target.
Selain ransomware, Raspberry Robin juga telah digunakan untuk menjatuhkan muatan tahap kedua lainnya ke perangkat yang disusupi, termasuk IcedID, Bumblebee, dan Truebot.
“Mulai pada 19 September 2022, Microsoft mengidentifikasi infeksi cacing Raspberry Robin yang menyebarkan IcedID dan—kemudian pada korban lain—bumblebee dan muatan TrueBot,” kata analis Microsoft Security Threat Intelligence.
“Pada Oktober 2022, peneliti Microsoft mengamati infeksi Raspberry Robin diikuti oleh aktivitas Cobalt Strike dari DEV-0950. Aktivitas ini, yang dalam beberapa kasus termasuk infeksi Truebot, akhirnya menyebarkan ransomware Clop.”
Ini mengisyaratkan operator Raspberry Robin yang menjual akses awal ke sistem perusahaan yang disusupi ke geng ransomware dan afiliasi yang kini memiliki cara tambahan untuk masuk ke jaringan target mereka selain email phishing dan iklan berbahaya.
Pada akhir Juli, Microsoft juga mengatakan telah mendeteksi perilaku pra-ransomware Evil Corp di jaringan di mana broker akses dilacak sebagai DEV-0206 menjatuhkan backdoor FakeUpdates (alias SocGholish) pada perangkat yang terinfeksi Raspberry Robin.
Terlihat pada September 2021 oleh analis intelijen Red Canary, Raspberry Robin menyebar ke perangkat lain melalui perangkat USB yang terinfeksi yang berisi file .LNK berbahaya.
Setelah perangkat USB terpasang dan pengguna mengklik tautan, worm akan menelurkan proses msiexec menggunakan cmd.exe untuk meluncurkan file berbahaya kedua yang disimpan di drive yang terinfeksi.
Pada perangkat Windows yang disusupi, ia berkomunikasi dengan server perintah dan kontrolnya (C2). Itu juga mengirimkan dan mengeksekusi eksekusi tambahan setelah melewati Kontrol Akun Pengguna (UAC) pada sistem yang terinfeksi menggunakan beberapa utilitas Windows yang sah (fodhelper, msiexec, dan odbcconf).
Hari ini, perusahaan mengungkapkan bahwa worm telah menyebar ke sistem milik hampir 1.000 organisasi dalam sebulan terakhir.
Sumber: Bleeping Computer
