Les pirates utilisent le ransomware Clop pour cibler les organisations infectées par le ver Raspberry Robin

Un groupe de pirates identifié simplement sous le nom de DEV-0950 utilise le ransomware CIop pour crypter le réseau des organisations qui ont été précédemment infectées par le ver Raspberry Robin.

Raspberry Robin est un ver Windows qui se propage via un périphérique USB amovible. Il utilise l'installateur Windows pour accéder aux domaines associés à QNAP et télécharger une DLL malveillante. Le malware utilise ensuite les nœuds de sortie TOR comme infrastructure C2 de secours.

Le malware utilise cmd.exe pour lire et exécuter un fichier stocké sur le disque externe infecté. Il utilise msiexec.exe pour communiquer avec un domaine malveillant sur le réseau externe, qui est utilisé comme C2 pour télécharger et installer un fichier de bibliothèque DLL.

Bien que le malware ait été utilisé dans une activité post-compromission liée à DEV-0950, les données recueillies par Microsoft Defender for Endpoint montrent que près de 3 500 appareils dans près de 1 000 organisations ont été compromis au cours des 30 derniers jours avec au moins une alerte liée à la charge utile RaspberryRobin.

Les attaques menées par le DEV-0950 ont conduit à l'utilisation de la balise Cobalt Strike. Dans d'autres cas, les attaquants ont diffusé le malware Truebot entre l'infection par Raspberry Robin et le déploiement de Cobalt Strike. Les enquêtes montrent en outre que les experts ont observé les infections de vers utilisant les charges utiles IcedID Bumblebee et TrueBot à partir du 19 septembre 2022, la dernière étape de l'attaque étant le déploiement du ransomware CIop.

Cependant, DEV-0950 n'est pas le seul acteur de la menace à exploiter cette vulnérabilité pour lancer des attaques de ransomware sur des organisations. Les chercheurs ont observé la propagation de FakeUpdates via le malware Raspberry Robin. Selon les chercheurs de Microsoft, un autre acteur de la menace, identifié comme DEV-0206, était responsable de l'utilisation du ver pour déployer un téléchargeur sur des réseaux contrôlés par des acteurs de la menace ayant des TTP Evil Corp.

Les chercheurs ont expliqué que DEV-0206 est un courtier d'accès qui utilise des campagnes publicitaires de logiciels malveillants pour compromettre les réseaux d'entreprise.

"DEV-0950 utilise traditionnellement le phishing pour acquérir la majorité de ses victimes. Ce changement notable vers l'utilisation de Raspberry Robin leur permet de livrer des charges utiles aux infections existantes et de faire passer plus rapidement leurs campagnes au stade du ransomware. Étant donné la nature interconnectée de l'économie cybercriminelle, il est possible que les acteurs à l'origine de ces campagnes de logiciels malveillants liés à Raspberry Robin - généralement distribués par d'autres moyens tels que des publicités ou des e-mails malveillants - paient les opérateurs de Raspberry Robin pour l'installation des logiciels malveillants", peut-on lire dans le rapport publié par Microsoft.

Les sources de cet article comprennent un article de SecurityAffairs.

Résumé

Nom de l'article

Les pirates utilisent le ransomware Clop pour cibler les organisations infectées par le ver Raspberry Robin

Description

Un groupe de pirates identifié simplement comme DEV-0950 utilise le ransomware CIop pour crypter le réseau des organisations.

Auteur

Obanla Opeyami

Nom de l'éditeur

Tuxcare

Logo de l'éditeur