Een beruchte groep cybercriminelen die door de Amerikaanse regering op een sanctielijst is geplaatst maakt gebruik van een usb-worm om toegang tot bedrijven en organisaties te krijgen, zo meldt Microsoft. De groep wordt Evil Corp genoemd en zou via de Dridex-malware banken in meer dan veertig landen hebben geïnfecteerd en meer dan honderd miljoen dollar hebben weten te stelen.

Evil Corp, door Microsoft aangeduid als DEV-0243, werkt samen met een andere groep cybercriminelen (DEV-0206). Deze groep fungeert als "access broker" en houdt zich bezig met toegang tot organisaties. Vervolgens wordt deze toegang aan andere criminelen verkocht. In het verleden gebruikte Evil Corp de door DEV-0243 geïnfecteerde systemen om ransomware te verspreiden.

Begin deze maand meldde Microsoft dat het op het netwerk van honderden organisaties een computerworm had ontdekt die zich via usb-sticks verspreidt en waarvan het doel onbekend is. De malware wordt Raspberry Robin genoemd en werd afgelopen mei genoemd in een rapport van securitybedrijf Red Canary. De malware maakt gebruik van lnk-bestanden op usb-sticks om zich te verspreiden. Deze lnk-bestanden doen zich voor als een legitieme map op de besmette usb-stick. In werkelijkheid wordt bij het openen van het lnk-bestand malware op het systeem geïnstalleerd.

Op 26 juli ontdekten onderzoekers van Microsoft dat malware van de groep DEV-0206 via Raspberry Robin-infecties wordt verspreid. Vervolgens werd "pre-ransomware gedrag" van Evil Corp waargenomen, wat volgens Microsoft erop duidt dat de samenwerking tussen beide groepen nog goed is.