AceCryptor Malware

Adskillige nye tilfælde af infektion forbundet med AceCryptor-værktøjet er dukket op, hvilket indikerer en bekymrende tendens. Dette værktøj, som er foretrukket af hackere for dets evne til at camouflere malware og infiltrere systemer uopdaget af konventionelt anti-malware-forsvar, er blevet brugt i en kampagne rettet mod organisationer i hele Europa. Forskere, der har overvåget AceCryptors aktiviteter i årevis, observerer et markant skift i denne seneste kampagne. I modsætning til tidligere tilfælde har angribere udvidet rækken af manipuleret kode, der er samlet i deres udnyttelser, hvilket udgør øgede trusler mod målrettede enheder.

AceCryptor bruges til levering af skadelige trusler i de sene stadier

AceCryptor er almindeligvis parret med malware såsom Remcos eller Rescoms , der fungerer som potente fjernovervågningsværktøjer, der ofte bruges i angreb mod organisationer i Ukraine. Ved siden af Remcos og den velkendte SmokeLoader har forskere nu observeret AceCryptor udbrede andre malware-stammer, herunder varianter af STOP/Djvu Ransomware og Vidar Stealer .

Desuden har forskere bemærket forskellige mønstre i de målrettede lande. Mens SmokeLoader var involveret i angreb i Ukraine, indebar hændelser i Polen, Slovakiet, Bulgarien og Serbien brugen af Remcos.

I omhyggeligt orkestrerede kampagner er AceCryptor blevet udnyttet til at målrette mod flere europæiske lande med det formål at udtrække følsomme oplysninger eller etablere indledende adgang til forskellige virksomheder. Fordelingen af malware i disse angreb skete ofte gennem spam-e-mails, hvoraf nogle var bemærkelsesværdigt overbevisende; lejlighedsvis blev legitime e-mail-konti kapret og misbrugt til at sende disse vildledende beskeder.

Det primære formål med den seneste operation er at erhverve e-mail- og browserlegitimationsoplysninger beregnet til yderligere angreb mod de målrettede virksomheder. Navnlig har størstedelen af registrerede AceCryptor-hændelser tjent som det indledende kompromispunkt i disse angreb.

AceCryptors mål er skiftet gennem 2023

I de seks måneder af 2023 var de lande, der primært blev påvirket af AceCryptor-pakket malware, Peru, Mexico, Egypten og Tyrkiet, hvor Peru bar hovedparten af 4.700 angreb. Men i et bemærkelsesværdigt skift i sidste halvdel af året omdirigerede hackere deres fokus mod europæiske nationer, især Polen, som udholdt over 26.000 angreb. Ukraine, Spanien og Serbien blev også udsat for tusindvis af angreb.

I løbet af sidste halvdel af året opstod Rescoms som den dominerende malware-familie distribueret via AceCryptor med over 32.000 hændelser. Polen tegnede sig for mere end halvdelen af disse hændelser, efterfulgt af Serbien, Spanien, Bulgarien og Slovakiet.

Angreb rettet mod polske virksomheder delte lignende emnelinjer, ofte forklædt som B2B-tilbud, der var relevante for de ofre virksomheder. Hackerne brugte ægte polske firmanavne og eksisterende medarbejderidentiteter i deres e-mails for at give troværdighed. Motiverne bag disse angreb forbliver tvetydige; det er usikkert, om hackerne har til formål at udnytte stjålne legitimationsoplysninger til personlig brug eller videregive dem til andre trusselsaktører.

På nuværende tidspunkt kan de tilgængelige beviser ikke tilskrive angrebskampagnerne definitivt til en bestemt kilde. Det er dog værd at bemærke, at hackere tilknyttet den russiske regering gentagne gange har brugt Remcos og SmokeLoader i deres operationer.