AceCryptor ļaunprātīga programmatūra

Ir parādījušies daudzi jauni infekcijas gadījumi, kas saistīti ar AceCryptor rīku, norādot uz satraucošu tendenci. Šis rīks, ko iecienījuši hakeri, jo tas spēj maskēt ļaunprātīgu programmatūru un iefiltrēties sistēmās, kuras neatklāj tradicionālie pretļaundabīgo programmu aizsardzības līdzekļi, ir izmantots kampaņā, kas paredzēta organizācijām visā Eiropā. Pētnieki, kuri gadiem ilgi ir uzraudzījuši AceCryptor aktivitātes, šajā nesenajā kampaņā novēroja raksturīgu maiņu. Atšķirībā no iepriekšējiem gadījumiem, uzbrucēji ir paplašinājuši savās darbībās iekļautā bojātā koda klāstu, radot pastiprinātus draudus mērķa entītijām.

AceCryptor tiek izmantots kaitīgu vēlīnās stadijas draudu nogādāšanai

AceCryptor parasti tiek savienots pārī ar ļaunprātīgu programmatūru, piemēram, Remcos vai Rescoms , kas kalpo kā spēcīgi attālās novērošanas rīki, ko bieži izmanto uzbrukumos organizācijām Ukrainā. Līdzās Remcos un labi zināmajam SmokeLoader pētnieki tagad ir novērojuši, ka AceCryptor izplata citus ļaunprātīgas programmatūras celmus, tostarp STOP/Djvu Ransomware un Vidar Stealer variantus.

Turklāt pētnieki ir pamanījuši atšķirīgus modeļus mērķa valstīs. Kamēr SmokeLoader bija iesaistīts uzbrukumos Ukrainā, incidentos Polijā, Slovākijā, Bulgārijā un Serbijā tika izmantota Remcos.

Rūpīgi organizētās kampaņās AceCryptor ir izmantots, lai mērķētu uz vairākām Eiropas valstīm, lai iegūtu sensitīvu informāciju vai izveidotu sākotnējo piekļuvi dažādiem uzņēmumiem. Ļaunprātīgas programmatūras izplatīšana šajos uzbrukumos bieži notika ar surogātpasta e-pastiem, no kuriem daži bija ārkārtīgi pārliecinoši; dažkārt likumīgi e-pasta konti tika nolaupīti un ļaunprātīgi izmantoti, lai nosūtītu šos maldinošos ziņojumus.

Jaunākās operācijas galvenais mērķis ir iegūt e-pasta un pārlūkprogrammas akreditācijas datus, kas paredzēti turpmākiem uzbrukumiem mērķa uzņēmumiem. Proti, lielākā daļa reģistrēto AceCryptor incidentu ir kalpojuši kā sākotnējais kompromisa punkts šajos uzbrukumos.

AceCryptor mērķi ir mainījušies 2023. gada laikā

2023. gada sešos mēnešos AceCryptor iepakotās ļaunprogrammatūras galvenokārt skāra Peru, Meksika, Ēģipte un Turcija, un Peru cieta 4700 uzbrukumu smagums. Tomēr gada otrajā pusē hakeri pievērsa uzmanību Eiropas valstīm, īpaši Polijai, kas pārcieta vairāk nekā 26 000 uzbrukumu. Arī Ukraina, Spānija un Serbija tika pakļautas tūkstošiem uzbrukumu.

Gada otrajā pusē Rescoms kļuva par dominējošo ļaunprogrammatūru saimi, kas izplatīta, izmantojot AceCryptor, ar vairāk nekā 32 000 incidentu. Vairāk nekā puse no šiem gadījumiem bija Polijā, kam seko Serbija, Spānija, Bulgārija un Slovākija.

Uzbrukumiem, kas vērsti pret Polijas uzņēmumiem, bija līdzīgas tēmas, bieži maskējoties par B2B piedāvājumiem, kas attiecas uz cietušajiem uzņēmumiem. Lai palielinātu uzticamību, hakeri savos e-pastos izmantoja īstus Polijas uzņēmumu nosaukumus un esošo darbinieku identitātes. Šo uzbrukumu motīvi joprojām ir neskaidri; nav skaidrs, vai hakeru mērķis ir izmantot nozagtos akreditācijas datus personiskai lietošanai vai pārdot tos citiem apdraudējuma dalībniekiem.

Pašlaik pieejamie pierādījumi nespēj pilnībā attiecināt uzbrukuma kampaņas uz konkrētu avotu. Tomēr ir vērts atzīmēt, ka ar Krievijas valdību saistīti hakeri savās darbībās ir atkārtoti izmantojuši Remcos un SmokeLoader.