Zlonamjerni softver AceCryptor

Pojavili su se brojni novi slučajevi infekcije povezani s alatom AceCryptor, što ukazuje na zabrinjavajući trend. Ovaj alat, koji hakeri favoriziraju zbog svoje sposobnosti kamufliranja zlonamjernog softvera i infiltracije u sustave neotkrivene konvencionalnom obranom od zlonamjernog softvera, korišten je u kampanji usmjerenoj na organizacije diljem Europe. Istraživači koji su godinama pratili aktivnosti AceCryptora uočili su značajan pomak u ovoj nedavnoj kampanji. Za razliku od prethodnih slučajeva, napadači su proširili raspon neovlaštenog koda uključenog u svoje eksploatacije, predstavljajući povećanu prijetnju ciljanim entitetima.

AceCryptor se koristi za isporuku štetnih prijetnji u kasnoj fazi

AceCryptor se obično spaja sa zlonamjernim softverom kao što su Remcos ili Rescoms , koji služe kao moćni alati za daljinski nadzor koji se često koriste u napadima na organizacije u Ukrajini. Uz Remcos i dobro poznati SmokeLoader, istraživači su sada primijetili kako AceCryptor širi druge vrste zlonamjernog softvera, uključujući varijante STOP/Djvu Ransomwarea i Vidar Stealera .

Štoviše, istraživači su uočili različite obrasce u ciljanim zemljama. Dok je SmokeLoader bio uključen u napade u Ukrajini, incidenti u Poljskoj, Slovačkoj, Bugarskoj i Srbiji su uključivali korištenje Remcosa.

U pomno organiziranim kampanjama, AceCryptor je iskorišten za ciljanje više europskih zemalja, s ciljem izvlačenja osjetljivih informacija ili uspostavljanja početnog pristupa različitim tvrtkama. Distribucija zlonamjernog softvera u tim napadima često se odvijala putem neželjene e-pošte, od kojih su neke bile nevjerojatno uvjerljive; povremeno su legitimni računi e-pošte bili oteli i zlouporabljeni za slanje ovih pogrešnih poruka.

Primarni cilj najnovije operacije je nabava vjerodajnica e-pošte i preglednika namijenjenih daljnjim napadima na ciljane tvrtke. Naime, većina zabilježenih incidenata s AceCryptorom poslužila je kao početna točka kompromisa u ovim napadima.

Ciljevi AceCryptora su se promijenili tijekom 2023

U šest mjeseci 2023. godine, zemlje koje su primarno pogođene zlonamjernim softverom prepunim AceCryptora bile su Peru, Meksiko, Egipat i Turska, a Peru je snosio najveći teret od 4700 napada. Međutim, u značajnom pomaku tijekom druge polovice godine, hakeri su svoj fokus preusmjerili prema europskim zemljama, posebice Poljskoj, koja je pretrpjela više od 26.000 napada. Ukrajina, Španjolska i Srbija također su bile izložene tisućama napada.

Tijekom druge polovice godine, Rescoms se pojavio kao dominantna obitelj zlonamjernog softvera koja se distribuira putem AceCryptora, s više od 32.000 incidenata. Poljska je bila odgovorna za više od polovice tih događaja, a slijede je Srbija, Španjolska, Bugarska i Slovačka.

Napadi usmjereni na poljske tvrtke dijelili su slične teme, često maskirane kao B2B ponude relevantne za žrtve poduzeća. Hakeri su koristili izvorna imena poljskih tvrtki i postojeće identitete zaposlenika u svojim e-porukama kako bi dali vjerodostojnost. Motivi iza ovih napada ostaju nejasni; nije sigurno namjeravaju li hakeri iskoristiti ukradene vjerodajnice za osobnu upotrebu ili ih prodati drugim akterima prijetnje.

Trenutačno dostupni dokazi ne uspijevaju definitivno pripisati kampanje napada određenom izvoru. Međutim, vrijedno je napomenuti da su hakeri povezani s ruskom vladom stalno angažirali Remcos i SmokeLoader u svojim operacijama.