AceCryptor Malware

Banyak kes jangkitan baru yang dikaitkan dengan alat AceCryptor telah muncul, menunjukkan trend yang membimbangkan. Alat ini, digemari oleh penggodam kerana keupayaannya untuk menyamarkan perisian hasad dan menyusup ke sistem yang tidak dapat dikesan oleh pertahanan anti-perisian hasad konvensional, telah digunakan dalam kempen yang ditujukan kepada organisasi di seluruh Eropah. Penyelidik yang telah memantau aktiviti AceCryptor selama bertahun-tahun memerhatikan perubahan tersendiri dalam kempen baru-baru ini. Tidak seperti contoh sebelumnya, penyerang telah meluaskan julat kod yang diusik yang digabungkan dalam eksploitasi mereka, menimbulkan ancaman yang lebih tinggi kepada entiti yang disasarkan.

AceCryptor Digunakan untuk Penghantaran Ancaman Peringkat Akhir yang Memudaratkan

AceCryptor biasanya dipasangkan dengan perisian hasad seperti Remcos atau Rescoms , yang berfungsi sebagai alat pengawasan jauh yang kuat yang sering digunakan dalam serangan terhadap organisasi di Ukraine. Di samping Remcos dan SmokeLoader yang terkenal, para penyelidik kini telah memerhatikan AceCryptor menyebarkan jenis perisian hasad lain, termasuk varian STOP/Djvu Ransomware dan Vidar Stealer .

Selain itu, penyelidik telah mencatat corak yang berbeza di negara yang disasarkan. Walaupun SmokeLoader terlibat dalam serangan di Ukraine, insiden di Poland, Slovakia, Bulgaria dan Serbia memaparkan penggunaan Remcos.

Dalam kempen yang diatur dengan teliti, AceCryptor telah dimanfaatkan untuk menyasarkan beberapa negara Eropah, bertujuan untuk mengekstrak maklumat sensitif atau mewujudkan akses awal kepada pelbagai syarikat. Pengedaran perisian hasad dalam serangan ini sering berlaku melalui e-mel spam, beberapa daripadanya sangat meyakinkan; kadangkala, akaun e-mel yang sah dirampas dan disalahgunakan untuk menghantar mesej yang mengelirukan ini.

Objektif utama operasi terkini adalah untuk memperoleh kelayakan e-mel dan penyemak imbas yang bertujuan untuk serangan selanjutnya terhadap syarikat yang disasarkan. Terutama, majoriti insiden AceCryptor yang direkodkan telah berfungsi sebagai titik awal kompromi dalam serangan ini.

Sasaran AceCryptor Telah Bertukar Sepanjang 2023

Dalam tempoh enam bulan 2023, negara yang terjejas terutamanya oleh perisian hasad yang penuh dengan AceCryptor ialah Peru, Mexico, Mesir dan Turki dengan Peru menanggung beban sebanyak 4,700 serangan. Walau bagaimanapun, dalam anjakan ketara pada separuh kedua tahun ini, penggodam mengalihkan tumpuan mereka ke arah negara Eropah, terutamanya Poland, yang mengalami lebih 26,000 serangan. Ukraine, Sepanyol dan Serbia turut mengalami beribu-ribu serangan.

Sepanjang separuh kedua tahun itu, Rescoms muncul sebagai keluarga perisian hasad utama yang diedarkan melalui AceCryptor, dengan lebih 32,000 insiden. Poland menyumbang lebih separuh daripada kejadian ini, diikuti oleh Serbia, Sepanyol, Bulgaria dan Slovakia.

Serangan yang menyasarkan perniagaan Poland berkongsi baris subjek yang sama, sering menyamar sebagai tawaran B2B yang berkaitan dengan syarikat yang menjadi mangsa. Penggodam menggunakan nama syarikat Poland tulen dan identiti pekerja sedia ada dalam e-mel mereka untuk memberikan kredibiliti. Motif di sebalik serangan ini masih tidak jelas; tidak pasti sama ada penggodam bertujuan untuk mengeksploitasi kelayakan yang dicuri untuk kegunaan peribadi atau menjualnya kepada pelakon ancaman lain.

Pada masa ini, bukti yang ada gagal mengaitkan kempen serangan kepada sumber tertentu secara muktamad. Walau bagaimanapun, perlu diingat bahawa penggodam yang bergabung dengan kerajaan Rusia telah berulang kali menggunakan Remcos dan SmokeLoader dalam operasi mereka.