Вредоносное ПО AceCryptor

Появились многочисленные новые случаи заражения, связанные с инструментом AceCryptor, что указывает на тревожную тенденцию. Этот инструмент, любимый хакерами за его способность маскировать вредоносное ПО и проникать в системы, не обнаруживаемые обычными средствами защиты от вредоносного ПО, использовался в кампании, направленной на организации по всей Европе. Исследователи, которые годами следили за деятельностью AceCryptor, отмечают заметный сдвиг в этой недавней кампании. В отличие от предыдущих случаев, злоумышленники расширили диапазон подделанного кода, входящего в состав их эксплойтов, что представляет повышенную угрозу для целевых объектов.

AceCryptor используется для доставки вредоносных угроз на поздней стадии

AceCryptor обычно сочетается с такими вредоносными программами, как Remcos или Rescoms , которые служат мощными инструментами удаленного наблюдения, часто используемыми при атаках на организации в Украине. Помимо Remcos и известного SmokeLoader, исследователи заметили, что AceCryptor распространяет и другие штаммы вредоносного ПО, включая варианты STOP/Djvu Ransomware и Vidar Stealer .

Более того, исследователи отметили различные закономерности в целевых странах. В то время как SmokeLoader участвовал в атаках на Украине, инциденты в Польше, Словакии, Болгарии и Сербии были связаны с использованием Remcos.

В тщательно организованных кампаниях AceCryptor использовался для нападения на несколько европейских стран с целью извлечения конфиденциальной информации или установления первоначального доступа к различным компаниям. Распространение вредоносного ПО в ходе этих атак часто происходило через спам-сообщения, некоторые из которых были весьма убедительными; иногда законные учетные записи электронной почты были взломаны и использованы для рассылки этих вводящих в заблуждение сообщений.

Основная цель последней операции — получить учетные данные электронной почты и браузера, предназначенные для дальнейших атак на целевые компании. Примечательно, что большинство зарегистрированных инцидентов AceCryptor послужили начальной точкой компрометации в этих атаках.

Цели AceCryptor менялись в течение 2023 года

За шесть месяцев 2023 года странами, которые в первую очередь пострадали от вредоносного ПО, упакованного AceCryptor, были Перу, Мексика, Египет и Турция, причем Перу приняло на себя основной удар в результате 4700 атак. Однако во второй половине года произошел заметный сдвиг: хакеры перенаправили свое внимание на европейские страны, особенно на Польшу, которая пережила более 26 000 атак. Украина, Испания и Сербия также подверглись тысячам атак.

За вторую половину года Rescoms стал преобладающим семейством вредоносных программ, распространяемых через AceCryptor, с более чем 32 000 инцидентов. На долю Польши пришлось более половины этих случаев, за ней следуют Сербия, Испания, Болгария и Словакия.

Атаки, направленные на польские предприятия, имели схожую тематику, часто маскируясь под B2B-предложения, актуальные для пострадавших компаний. Хакеры использовали в своих электронных письмах подлинные названия польских компаний и существующие личности сотрудников, чтобы придать им больше доверия. Мотивы этих нападений остаются неоднозначными; неизвестно, намерены ли хакеры использовать украденные учетные данные для личного использования или продать их другим злоумышленникам.

В настоящее время имеющиеся данные не позволяют однозначно отнести кампании атак к конкретному источнику. Однако стоит отметить, что хакеры, связанные с российским правительством, неоднократно использовали Remcos и SmokeLoader в своих операциях.