Microsoftは10月27日(米国時間)、「Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity - Microsoft Security Blog」において、「Raspberry Robin」ワームが他のマルウェアファミリの一部として活動していると伝えた。USBデバイスや共有フォルダによる感染以外の方法で感染する活動が、Microsoft脅威インテリジェントチーム(MSTIC: Microsoft Threat Intelligence Center)によって発見された。

  • Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity - Microsoft Security Blog

    Raspberry Robin worm part of larger ecosystem facilitating pre-ransomware activity - Microsoft Security Blog

Raspberry Robinに関連する活動を継続的に追跡した結果、活発な活動が行われていることがわかった。Microsoft Defender for Endpointのデータによると、約1,000の組織の約3,000台のデバイスで、過去30日間に少なくとも1つのRaspberry Robinペイロード関連のアラートが表示されていることが明らかとなった。

Raspberry RobinはRed Canaryによって初めて報告されたワームで、現在活動している巨大なマルウェア配布プラットフォームの一つとされている。Microsoftのセキュリティ研究者によりRaspberry Robinに感染したデバイスにFakeUpdatesマルウェアがインストールされ、DEV-0243の活動に使われたことが確認されている。DEV-0243はEvilCorpと活動が重複しているといわれているランサムウェア関連の脅威アクターグループで、LockBitランサムウェアをランサムウェア・アズ・ア・サービス(RaaS: Ransomware-as-a-Service)モデルで展開していることが観測されている。

2022年10月、別の脅威アクターであるDEV-0950に起因する侵害後の活動でRaspberry Robinが使われていることがわかった。DEV-0950の活動ではRaspberry Robinの感染からCobalt Strikeによる侵害が確認されており、Raspberry RobinとCobalt Strikeの間にTruebotの感染も確認されている。

サイバー犯罪者たちの活動が相互に関連していることから、これらのキャンペーンの背後にいる行為者がRaspberry Robinのオペレータに対して報酬を支払っている可能性があるとみられている。また、セキュリティソリューションでRaspberry Robinとその後続の活動を検知するとともに、資格情報の健全状態キープ、ネットワークのセグメント化、攻撃対象の縮小に関するベストプラクティスなどのネットワーク保護策を実施することが推奨されている。