Le logiciel malveillant Raspberry Robin est utilisé pour fournir toutes sortes de codes destructeurs, y compris des rançongiciels, aux terminaux compromis. (s’ouvre dans un nouvel onglet)a prévenu Microsoft.
Il semble que le malware, découvert pour la première fois fin 2021, et dont la fin de partie était inconnue à l’époque, se soit transformé en un service d’infection accessible à toute personne ayant de l’argent à payer.
Des chercheurs en cybersécurité de Microsoft ont publié un article de blog détaillé (s’ouvre dans un nouvel onglet) dans lequel ils décrivent Raspberry Robin comme « faisant partie d’un écosystème de logiciels malveillants complexe et interconnecté », avec des liens vers d’autres familles de logiciels malveillants et d’autres méthodes d’infection.
Infection à louer
Celui qui est derrière Raspberry Robin s’est occupé ces dernières semaines, car selon les données de Microsoft Defender for Endpoint, près de 3 000 appareils dans 1 000 organisations ont connu au moins une alerte liée à la charge utile de Raspberry Robin au cours des 30 derniers jours.
Les charges utiles diffèrent, a expliqué la société, du malware FakeUpdates qui a conduit à une activité possible d’EvilCorp, à IceID, Bumblebee et Truebot. C’est tout juillet 2022.
En octobre 2022, cependant, Microsoft a également repéré Raspberry Robin utilisé par FIN11 (AKA TA505, – le groupe derrière le cheval de Troie bancaire Dridex et le rançongiciel Locky). Cette activité a conduit à des compromis pratiques sur le clavier de Cobalt Strike, a expliqué la société, parfois avec une infection Truebot entre les étapes Raspberry Robin et Cobalt Strike. Suite à la balise Cobalt Strike, le groupe a déployé le rançongiciel Clop.
Tout bien considéré, Microsoft a conclu que le groupe à l’origine de Raspberry Robin accepte des paiements pour déployer divers logiciels malveillants et rançongiciels sur les terminaux de ses victimes.
« Compte tenu de la nature interconnectée de l’économie cybercriminelle, il est possible que les acteurs à l’origine de ces campagnes de logiciels malveillants liés à Raspberry Robin, généralement diffusés par d’autres moyens, tels que des publicités malveillantes ou des e-mails, paient les opérateurs de Raspberry Robin pour les installations de logiciels malveillants », conclut le rapport.
Raspberry Robin a été identifié pour la première fois lorsque des chercheurs de Red Canary ont découvert un « cluster d’activités malveillantes ». Le logiciel malveillant est généralement distribué hors ligne, via des clés USB infectées. Après avoir analysé une clé USB infectée, les chercheurs ont découvert que le ver se propageait à de nouveaux appareils via un fichier .LNK malveillant.
- Gardez une trace du trafic avec les meilleurs pare-feu (s’ouvre dans un nouvel onglet) là-bas