Το κακόβουλο λογισμικό Raspberry Robin προσπαθεί τώρα να μπερδέψει τους ερευνητές ρίχνοντας ένα ψεύτικο ωφέλιμο φορτίο. Αυτό το λογισμικό έχει σχεδιαστεί για να αποφεύγει την ανίχνευση όταν εκτελείται εντός sandboxes και εργαλείων εντοπισμού σφαλμάτων.
Δείτε επίσης: LockBit: Επιτέθηκε στο Υπουργείο Οικονομικών της Καλιφόρνια
Οι ερευνητές της Trend Micro ανακάλυψαν αυτή τη νέα τακτική μετά την παρατήρηση του Raspberry Robin σε πρόσφατες επιθέσεις εναντίον παρόχων τηλεπικοινωνιακών υπηρεσιών και κυβερνητικών συστημάτων.
Το κακόβουλο λογισμικό Raspberry Robin επιτρέπει την πρόσβαση σε μολυσμένα δίκτυα, τα οποία οι συμμορίες ransomware και άλλοι χειριστές κακόβουλου λογισμικού μπορούν να εκμεταλλευτούν για κακόβουλους σκοπούς. Έχει συνδεθεί με το FIN11 και τη συμμορία Clop, καθώς και με τα Bumblebee, IcedID και TrueBot στο παρελθόν.
Αυτό το κακόβουλο λογισμικό φτάνει στον προορισμό του μέσω κακόβουλων μονάδων USB. Εάν η μολυσμένη συσκευή συνδεθεί και ο χρήστης κάνει διπλό κλικ σε οποιοδήποτε αρχείο .LNK, το μηχάνημα μολύνεται με κακόβουλο λογισμικό.
Η κακόβουλη εκμετάλλευση συντόμευσης χρησιμοποιεί τη διαδικασία ‘MSIExec.exe‘ των Windows για τη λήψη ενός επιβλαβούς εγκαταστάτη MSI, ο οποίος στη συνέχεια εγκαθιστά τα ωφέλιμα φορτία του Raspberry Robin.
Ο κώδικας αυτού του κακόβουλου λογισμικού είναι κρυμμένος με τρόπο που καθιστά δύσκολη την εύρεση και αποκρυπτογράφησή του, καθώς διαθέτει πολλαπλά επίπεδα. Κάθε επόμενο στρώμα περιέχει σκληρά κωδικοποιημένες τιμές που απαιτούνται για την αποκρυπτογράφηση του προηγούμενου.
Δείτε ακόμα: Ρώσος χειριστής του LockBit ransomware συνελήφθη στον Καναδά
Επιπλέον, για να κάνει πιο περίπλοκη τη μελέτη του κακόβουλου λογισμικού από τους αναλυτές ασφαλείας, το Raspberry Robin έχει αρχίσει να ρίχνει δύο ξεχωριστά ωφέλιμα φορτία ανάλογα με τον τρόπο που εκτελείται σε μια συσκευή.
Πρόσφατα, το Raspberry Robin υιοθέτησε ορισμένες από τις ίδιες τακτικές, τεχνικές και διαδικασίες με το LockBit. Κατά συνέπεια, οι αναλυτές μας πιστεύουν ότι αυτά τα δύο έργα μπορεί να σχετίζονται μεταξύ τους.
Οι δύο κύριες ομοιότητες μεταξύ των εργαλείων είναι ότι και τα δύο χρησιμοποιούν τη βαθμονόμηση ICM για την κλιμάκωση προνομίων και το ‘TreadHideFromDebugger‘ για την καταπολέμηση της αποσφαλμάτωσης. Αν και οι ερευνητές διαπίστωσαν μια αξιοσημείωτη σχέση μεταξύ των δύο, απαιτείται περισσότερη έρευνα για να προσδιοριστεί η αιτιώδης συνάφεια.
Συμπερασματικά, η Trend Micro αναφέρει ότι η τρέχουσα εκστρατεία Raspberry Robin είναι περισσότερο μια αναγνωριστική προσπάθεια για την αξιολόγηση της αποτελεσματικότητας των νέων μηχανισμών παρά ένα αρχικό βήμα σε πραγματικές επιθέσεις.
Δείτε επίσης: Το LockBit 3.0 διανέμεται μέσω του Amadey Bot
Το LockBit ransomware είναι μια μορφή κακόβουλου λογισμικού που ανακαλύφθηκε για πρώτη φορά τον Ιούλιο του 2020. Πρόκειται για έναν τύπο ransomware που κρυπτογραφεί αρχεία και στοχεύει οργανισμούς κρυπτογραφώντας τα δεδομένα τους και απαιτώντας την καταβολή λύτρων σε αντάλλαγμα για το ξεκλείδωμα των αρχείων. Σε αντίθεση με άλλους τύπους ransomware, το LockBit δεν βασίζεται σε καμπάνιες phishing ή κακόβουλα συνημμένα αρχεία για να εξαπλωθεί- αντίθετα, χρησιμοποιεί επιθέσεις brute force για να εισέλθει σε δίκτυα και στη συνέχεια εξαπλώνεται μέσω πλευρικής κίνησης. Αυτό καθιστά ιδιαίτερα δύσκολο τον εντοπισμό του, καθώς η επίθεση μπορεί να περάσει απαρατήρητη έως ότου τα αρχεία έχουν ήδη κρυπτογραφηθεί.
