Microsoft ha descubierto que un intermediario de acceso que rastrea como DEV-0206 utiliza el gusano de Windows Raspberry Robin para desplegar un descargador de malware en redes en las que también ha encontrado pruebas de actividad maliciosa que coinciden con las tácticas de Evil Corp.
Según un aviso de inteligencia de amenazas compartido con clientes empresariales, Microsoft ha encontrado el malware Raspberry Robin en las redes de cientos de organizaciones de una amplia gama de sectores industriales.
Detectado por primera vez en septiembre de 2021 por los analistas de inteligencia de Red Canary, se propaga a través de dispositivos USB infectados a otros dispositivos en la red de un objetivo una vez desplegado en un sistema comprometido.
Los hallazgos de Redmond coinciden con los del equipo de Ingeniería de Detección de Red Canary, que también lo detectó en las redes de clientes de los sectores tecnológico y manufacturero.
Esta es la primera vez que los investigadores de seguridad han encontrado pruebas de cómo los actores de la amenaza detrás de Raspberry Robin, planean explotar el acceso que obtuvieron a las redes de sus víctimas, utilizando este gusano.
Evil Corp, el grupo de ciberdelincuentes que parece aprovechar el acceso de Raspberry Robin a las redes empresariales (rastreado por Microsoft como DEV-0243), lleva activo desde 2007 y es conocido por impulsar el malware Dridex y por pasar a desplegar ransomware.
Desde el ransomware Locky y su propia cepa de ransomware BitPaymer, el grupo de amenazas ha pasado a instalar su nuevo ransomware WastedLocker a partir de junio de 2019.
A partir de marzo de 2021, Evil Corp se trasladó a otras cepas conocidas como Hades ransomware, Macaw Locker y Phoenix CryptoLocker, siendo finalmente observado por Mandiant desplegando ransomware como afiliado de LockBit desde mediados de 2022.
El cambio de cargas útiles de ransomware y la adopción de un papel de afiliado de Ransomware as a Service (RaaS) forman parte de los esfuerzos de Evil Corp para evadir las sanciones impuestas por la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de Estados Unidos por utilizar Dridex para causar más de 100 millones de dólares en daños financieros.
Después de ser sancionado por el gobierno de Estados Unidos, en 2019, las empresas de negociación de ransomware se negaron a facilitar el pago de rescates para las organizaciones afectadas por los ataques de ransomware de Evil Corp para evitar enfrentar acciones legales o multas del Departamento del Tesoro de Estados Unidos.
Utilizar el malware de otros grupos también permite a Evil Corp distanciarse de las herramientas conocidas para permitir que sus víctimas paguen rescates sin enfrentarse a los riesgos asociados con la violación de las regulaciones de la OFAC.
Asumir un papel de filial de RaaS también permitiría probablemente a sus operadores ampliar las operaciones de despliegue de ransomware de la banda y a sus desarrolladores de malware disponer de suficiente tiempo libre y recursos para desarrollar nuevo ransomware, que es más difícil de vincular a las operaciones anteriores de Evil Corp.