AceCryptor-malware

Er zijn talloze nieuwe gevallen van infectie naar voren gekomen die verband houden met de AceCryptor-tool, wat wijst op een zorgwekkende trend. Deze tool, favoriet bij hackers vanwege zijn vermogen om malware te camoufleren en systemen te infiltreren zonder opgemerkt te worden door conventionele anti-malware-verdedigingen, is gebruikt in een campagne gericht op organisaties in heel Europa. Onderzoekers die de activiteiten van AceCryptor jarenlang hebben gevolgd, zien een opvallende verschuiving in deze recente campagne. In tegenstelling tot eerdere gevallen hebben aanvallers het bereik van de gemanipuleerde code die in hun exploits is gebundeld, uitgebreid, waardoor een verhoogde bedreiging voor gerichte entiteiten ontstaat.

AceCryptor wordt gebruikt voor het leveren van schadelijke bedreigingen in een laat stadium

AceCryptor wordt vaak gecombineerd met malware zoals Remcos of Rescoms , die dienen als krachtige tools voor bewaking op afstand die vaak worden gebruikt bij aanvallen op organisaties in Oekraïne. Naast Remcos en de bekende SmokeLoader hebben onderzoekers nu waargenomen dat AceCryptor ook andere malwaresoorten verspreidt, waaronder varianten van de STOP/Djvu Ransomware en de Vidar Stealer .

Bovendien hebben onderzoekers duidelijke patronen opgemerkt in de doellanden. Terwijl SmokeLoader betrokken was bij aanslagen in Oekraïne, werd bij incidenten in Polen, Slowakije, Bulgarije en Servië gebruik gemaakt van Remcos.

In zorgvuldig georkestreerde campagnes is AceCryptor ingezet om meerdere Europese landen te targeten, met als doel gevoelige informatie te extraheren of initiële toegang tot verschillende bedrijven te verkrijgen. De verspreiding van malware bij deze aanvallen vond vaak plaats via spam-e-mails, waarvan sommige opmerkelijk overtuigend waren; af en toe werden legitieme e-mailaccounts gekaapt en misbruikt om deze misleidende berichten te verzenden.

Het primaire doel van de nieuwste operatie is het verkrijgen van e-mail- en browsergegevens die bedoeld zijn voor verdere aanvallen op de beoogde bedrijven. Opvallend is dat het merendeel van de geregistreerde AceCryptor-incidenten als eerste compromis bij deze aanvallen heeft gediend.

De doelstellingen van AceCryptor zijn in 2023 veranderd

In de zes maanden van 2023 waren Peru, Mexico, Egypte en Turkije de landen die vooral getroffen werden door de met AceCryptor gevulde malware, waarbij Peru het zwaarst getroffen werd door 4.700 aanvallen. Tijdens een opmerkelijke verschuiving in de tweede helft van het jaar verlegden hackers hun aandacht echter naar Europese landen, met name Polen, dat meer dan 26.000 aanvallen te verduren kreeg. Ook Oekraïne, Spanje en Servië werden onderworpen aan duizenden aanvallen.

In de tweede helft van het jaar kwam Rescoms naar voren als de belangrijkste malwarefamilie die via AceCryptor werd verspreid, met meer dan 32.000 incidenten. Polen was verantwoordelijk voor meer dan de helft van deze voorvallen, gevolgd door Servië, Spanje, Bulgarije en Slowakije.

Aanvallen gericht op Poolse bedrijven hadden vergelijkbare onderwerpen, vaak vermomd als B2B-aanbiedingen die relevant waren voor de getroffen bedrijven. De hackers gebruikten echte Poolse bedrijfsnamen en bestaande werknemersidentiteiten in hun e-mails om geloofwaardigheid te verlenen. De motieven achter deze aanvallen blijven dubbelzinnig; het is onzeker of de hackers de gestolen inloggegevens voor persoonlijk gebruik willen misbruiken of deze aan andere bedreigingsactoren willen verkopen.

Momenteel slaagt het beschikbare bewijs er niet in om de aanvalscampagnes definitief aan een specifieke bron toe te schrijven. Het is echter vermeldenswaard dat hackers die banden hebben met de Russische overheid herhaaldelijk Remcos en SmokeLoader bij hun activiteiten hebben ingezet.