AceCryptor-haittaohjelma

Lukuisia uusia AceCryptor-työkaluun liittyviä infektiotapauksia on ilmaantunut, mikä osoittaa huolestuttavaa suuntausta. Tätä työkalua, jota hakkerit ovat suosineet sen kyvystä naamioida haittaohjelmia ja tunkeutua järjestelmiin, joita tavanomaiset haittaohjelmien torjuntakeinot eivät havaitse, on käytetty kampanjassa, joka on suunnattu organisaatioille kaikkialla Euroopassa. Tutkijat, jotka ovat seuranneet AceCryptorin toimintaa vuosia, havaitsevat erottuvan muutoksen tässä äskettäisessä kampanjassa. Toisin kuin aikaisemmissa tapauksissa, hyökkääjät ovat laajentaneet hyväksikäyttöihinsä niputetun peukaloidun koodin valikoimaa, mikä on lisännyt uhkia kohteena oleville tahoille.

AceCryptoria käytetään haitallisten myöhäisvaiheen uhkien välittämiseen

AceCryptor yhdistetään yleisesti haittaohjelmien, kuten Remcos tai Rescoms , kanssa, jotka toimivat tehokkaina etävalvontatyökaluina, joita käytetään usein hyökkäyksissä organisaatioita vastaan Ukrainassa. Remcosin ja tunnetun SmokeLoaderin ohella tutkijat ovat nyt havainneet AceCryptorin levittävän muita haittaohjelmakantoja, mukaan lukien muunnelmat STOP/Djvu Ransomwaresta ja Vidar Stealeristä .

Lisäksi tutkijat ovat havainneet erilaisia malleja kohdemaissa. Vaikka SmokeLoader oli osallisena hyökkäyksissä Ukrainassa, Puolassa, Slovakiassa, Bulgariassa ja Serbiassa tapahtuneissa välikohtauksissa käytettiin Remcosia.

Huolellisesti organisoiduissa kampanjoissa AceCryptoria on hyödynnetty kohdistamaan useisiin Euroopan maihin tavoitteenaan poimia arkaluontoisia tietoja tai luoda pääsy useille yrityksille. Haittaohjelmien leviäminen näissä hyökkäyksissä tapahtui usein roskapostiviestien kautta, joista osa oli erittäin vakuuttavia; toisinaan laillisia sähköpostitilejä kaapattiin ja niitä käytettiin väärin lähettämään näitä harhaanjohtavia viestejä.

Viimeisimmän toiminnan ensisijaisena tavoitteena on hankkia sähköposti- ja selaintunnukset, jotka on tarkoitettu myöhempään hyökkäykseen kohdeyrityksiin. Erityisesti suurin osa tallennetuista AceCryptor-tapauksista on toiminut näiden hyökkäysten alkuvaiheessa kompromissina.

AceCryptorin tavoitteet ovat vaihtuneet vuoden 2023 aikana

Vuoden 2023 kuuden kuukauden aikana maat, joihin AceCryptorilla pakatut haittaohjelmat vaikuttivat ensisijaisesti, olivat Peru, Meksiko, Egypti ja Turkki, ja Peru kärsi 4 700 hyökkäyksestä. Kuitenkin vuoden jälkipuoliskolla tapahtuneen merkittävän muutoksen seurauksena hakkerit suuntasivat huomionsa Euroopan maihin, erityisesti Puolaan, joka kesti yli 26 000 hyökkäystä. Myös Ukraina, Espanja ja Serbia joutuivat tuhansien iskujen kohteeksi.

Vuoden jälkipuoliskolla Rescoms nousi hallitsevaksi AceCryptorin kautta levitettäväksi haittaohjelmaperheeksi yli 32 000 tapauksella. Puolan osuus näistä tapahtumista oli yli puolet, ja sen jälkeen tulevat Serbia, Espanja, Bulgaria ja Slovakia.

Puolalaisiin yrityksiin kohdistetuilla hyökkäyksillä oli samankaltaisia aihealueita, jotka usein naamioituivat uhriksi joutuneiden yritysten kannalta merkityksellisiksi B2B-tarjouksiksi. Hakkerit käyttivät sähköposteissaan aitoja puolalaisia yritysten nimiä ja olemassa olevia työntekijöiden identiteettejä lisätäkseen uskottavuutta. Näiden hyökkäysten motiivit ovat edelleen epäselviä; on epävarmaa, pyrkivätkö hakkerit hyödyntämään varastettuja tunnistetietoja henkilökohtaiseen käyttöön vai myyvätkö ne muille uhkatoimijoille.

Tällä hetkellä saatavilla olevat todisteet eivät pysty osoittamaan hyökkäyskampanjoita lopullisesti tietystä lähteestä. On kuitenkin syytä huomata, että Venäjän hallitukseen liittyvät hakkerit ovat toistuvasti käyttäneet toiminnassaan Remcosia ja SmokeLoaderia.