Червь Raspberry Robin прогрызает дыры в тысячах конечных точек

Согласно отчету Microsoft, Raspberry Robin используется злоумышленниками для доставки вымогательского ПО Clop. За последние 30 дней червь заразил почти 3000 устройств в почти 1000 организациях.

Напомним, впервые Raspberry Robin был обнаружен специалистами Red Canary в мае этого года, когда червь распространялся через USB-накопители на конечные точки, после чего уходил в спящий режим. Однако исследователи Microsoft заметили, что в июле червь начал загружать вредоносное ПО FakeUpdates на зараженные устройства. Дальнейшее исследование вредоносной активности выявило связи инфраструктуры вредоноса с трояном Dridex и группировкой вымогателей Evil Corp (она же DEV-0243).

Октябрьский отчет Microsoft показал, что с тех пор червь начал развертывать на устройствах жертв IcedID, Bumblebee, Truebot и Clop. Кроме того, Raspberry Robin начал использовать не только USB-накопители, но и четыре других метода для заражения жертв.

IT-гигант приписал использование вымогательского ПО Clop группировке DEV-0950 – она же FIN11 или TA505, а это говорит о том, что червь стал оружием не какой-то конкретной банды хакеров, а ушел “в массы”.

Исследователи Microsoft отметили, что киберпреступники могут платить операторам Raspberry Robin за использование их вредоносного ПО, которое позволяет отойти от их обычных методов заражения жертв (фишинговые письма, вредоносная реклама и т.д.), чтобы быстрее развертывать вредоносное ПО и начинать вымогать деньги у целей.

Чтобы помочь компаниям защититься от червя, Microsoft выпустила рекомендацию с индикаторами компрометации и подробной технической информацией. Ознакомиться с ней можно по ссылке .