„AceCryptor“ kenkėjiška programa

Atsirado daug naujų infekcijos atvejų, susijusių su AceCryptor įrankiu, o tai rodo nerimą keliančią tendenciją. Šis įsilaužėlių mėgstamas įrankis dėl gebėjimo užmaskuoti kenkėjiškas programas ir įsiskverbti į sistemas, kurių neaptinka įprastinės apsaugos nuo kenkėjiškų programų, buvo panaudota kampanijoje, skirtoje organizacijoms visoje Europoje. Tyrėjai, kurie daugelį metų stebėjo „AceCryptor“ veiklą, pastebi išskirtinį šios naujausios kampanijos pokytį. Skirtingai nuo ankstesnių atvejų, užpuolikai išplėtė sugadinto kodo, susieto su jų išnaudojimais, diapazoną, sukeldami didesnę grėsmę tiksliniams subjektams.

„AceCryptor“ naudojamas žalingoms vėlyvosios stadijos grėsmėms perduoti

„AceCryptor“ dažniausiai derinamas su kenkėjiškomis programomis, tokiomis kaip „Remcos “ arba „Rescoms“ , kurios yra galingi nuotolinio stebėjimo įrankiai, dažnai naudojami atakoms prieš organizacijas Ukrainoje. Kartu su Remcos ir gerai žinomu SmokeLoader mokslininkai dabar pastebėjo, kad AceCryptor platina kitas kenkėjiškų programų padermes, įskaitant STOP/Djvu Ransomware ir Vidar Stealer variantus.

Be to, tyrėjai pastebėjo skirtingus modelius tikslinėse šalyse. Nors „SmokeLoader“ dalyvavo atakose Ukrainoje, incidentai Lenkijoje, Slovakijoje, Bulgarijoje ir Serbijoje buvo susiję su „Remcos“ naudojimu.

Kruopščiai surengtose kampanijose „AceCryptor“ buvo naudojamas nukreipti į kelias Europos šalis, siekiant išgauti neskelbtiną informaciją arba sukurti pradinę prieigą prie įvairių įmonių. Kenkėjiškos programos šiose atakose dažnai buvo platinamos per el. pašto šiukšles, kai kurios iš jų buvo nepaprastai įtikinamos; kartais teisėtos el. pašto paskyros buvo užgrobtos ir piktnaudžiaujama siekiant siųsti šiuos klaidinančius pranešimus.

Pagrindinis naujausios operacijos tikslas – gauti el. pašto ir naršyklės kredencialus, skirtus tolesniems išpuoliams prieš tikslines įmones. Pažymėtina, kad dauguma užregistruotų „AceCryptor“ incidentų buvo pradinis šių atakų kompromiso taškas.

„AceCryptor“ tikslai pasikeitė per 2023 m

Per šešis 2023 m. mėnesius „AceCryptor“ supakuotos kenkėjiškos programos daugiausia paveikė Peru, Meksiką, Egiptą ir Turkiją, o Peru patyrė 4 700 atakų. Tačiau per antrąjį pusmetį įsilaužėliai nukreipė savo dėmesį į Europos tautas, ypač Lenkiją, kuri patyrė daugiau nei 26 000 atakų. Ukraina, Ispanija ir Serbija taip pat patyrė tūkstančius išpuolių.

Per antrąjį metų pusmetį „Rescoms“ tapo vyraujančia kenkėjiškų programų šeima, platinama per „AceCryptor“, su daugiau nei 32 000 incidentų. Daugiau nei pusė šių įvykių įvyko Lenkijoje, po jos rikiuojasi Serbija, Ispanija, Bulgarija ir Slovakija.

Išpuolių, nukreiptų į Lenkijos įmones, temos buvo panašios, dažnai prisidengiant B2B pasiūlymais, susijusiais su nukentėjusiomis įmonėmis. Įsilaužėliai savo el. laiškuose naudojo tikrus lenkiškus įmonių pavadinimus ir esamas darbuotojų tapatybes, kad padidintų patikimumą. Šių išpuolių motyvai lieka dviprasmiški; neaišku, ar įsilaužėliai siekia išnaudoti pavogtus įgaliojimus asmeniniam naudojimui, ar parduoti juos kitiems grėsmės veikėjams.

Šiuo metu turimi įrodymai nepadeda galutinai priskirti atakų kampanijų konkrečiam šaltiniui. Tačiau verta paminėti, kad įsilaužėliai, susiję su Rusijos vyriausybe, savo veikloje ne kartą naudojo Remcos ir SmokeLoader.