Hacker verwenden Clop-Ransomware, um Unternehmen anzugreifen, die mit dem Raspberry Robin-Wurm infiziert sind

Eine Hackergruppe, die einfach als DEV-0950 identifiziert wird, verwendet CIop-Ransomware, um das Netzwerk von Organisationen zu verschlüsseln, die zuvor mit dem Raspberry-Robin-Wurm infiziert wurden.

Raspberry Robin ist ein Windows-Wurm, der sich über ein entfernbares USB-Gerät verbreitet. Er verwendet das Windows-Installationsprogramm, um auf mit QNAP verbundene Domänen zuzugreifen und eine bösartige DLL herunterzuladen. Die Malware nutzt dann TOR-Exit-Knoten als Backup-C2-Infrastruktur.

Die Malware verwendet cmd.exe, um eine auf dem infizierten externen Laufwerk gespeicherte Datei zu lesen und auszuführen. Sie nutzt msiexec.exe für die externe Netzwerkkommunikation mit einer betrügerischen Domäne, die als C2 zum Herunterladen und Installieren einer DLL-Bibliotheksdatei verwendet wird.

Obwohl die Malware bei Aktivitäten nach der Kompromittierung im Zusammenhang mit DEV-0950 verwendet wurde, zeigen die von Microsoft Defender for Endpoint gesammelten Daten, dass in den letzten 30 Tagen fast 3.500 Geräte in fast 1.000 Unternehmen mit mindestens einer RaspberryRobin-Nutzlast in Verbindung mit einer Warnung kompromittiert wurden.

Die vom DEV-0950 durchgeführten Angriffe führten zum Einsatz des Cobalt Strike Beacons. In anderen Fällen lieferten die Angreifer die Truebot-Malware zwischen der Raspberry-Robin-Infektion und dem Einsatz von Cobalt Strike. Die Untersuchungen zeigen außerdem, dass die Experten die Wurm-Infektionen mit IcedID Bumblebee- und TrueBot-Nutzlasten ab dem 19. September 2022 beobachteten, wobei die letzte Phase des Angriffs die Bereitstellung der CIop-Ransomware war.

DEV-0950 ist jedoch nicht der einzige Bedrohungsakteur, der diese Schwachstelle ausnutzt, um Ransomware-Angriffe auf Unternehmen zu starten. Die Forscher beobachteten die Verbreitung von FakeUpdates über die Raspberry Robin-Malware. Nach Angaben von Microsoft-Forschern war ein anderer Bedrohungsakteur, der als DEV-0206 identifiziert wurde, für die Verwendung des Wurms verantwortlich, um einen Downloader in Netzwerken bereitzustellen, die von Bedrohungsakteuren mit Evil Corp-TTPs kontrolliert werden.

Die Forscher erklärten, dass DEV-0206 ein Access Broker ist, der Malware-Werbekampagnen nutzt, um Unternehmensnetzwerke zu kompromittieren.

"DEV-0950 nutzt traditionell Phishing, um die meisten seiner Opfer zu gewinnen. Diese bemerkenswerte Umstellung auf Raspberry Robin ermöglicht es ihnen, Nutzdaten an bestehende Infektionen zu liefern und ihre Kampagnen schneller in die Ransomware-Phase zu bringen. In Anbetracht der vernetzten Wirtschaft der Cyberkriminellen ist es möglich, dass die Akteure hinter diesen Raspberry-Robin-bezogenen Malware-Kampagnen - die in der Regel über andere Wege wie bösartige Werbung oder E-Mails verbreitet werden - die Raspberry-Robin-Betreiber für die Installation von Malware bezahlen", heißt es in dem von Microsoft veröffentlichten Bericht.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung

Artikel Name

Hacker verwenden Clop-Ransomware, um Unternehmen anzugreifen, die mit dem Raspberry Robin-Wurm infiziert sind

Beschreibung

Eine Hackergruppe, die einfach als DEV-0950 identifiziert wird, verwendet CIop-Ransomware, um das Netzwerk von Organisationen zu verschlüsseln.

Autor

Obanla Opeyami

Name des Herausgebers

Tuxcare

Logo des Herausgebers