Malvér AceCryptor

Objavilo sa množstvo nových prípadov infekcie spojených s nástrojom AceCryptor, čo naznačuje znepokojivý trend. Tento nástroj, ktorý hackeri uprednostňujú pre jeho schopnosť maskovať malvér a infiltrovať systémy, ktoré konvenčná ochrana proti malvéru nerozpoznala, bol použitý v kampani zameranej na organizácie v celej Európe. Výskumníci, ktorí roky monitorovali aktivity AceCryptoru, pozorujú výrazný posun v tejto nedávnej kampani. Na rozdiel od predchádzajúcich prípadov útočníci rozšírili rozsah sfalšovaného kódu v rámci svojich exploitov, čo predstavuje zvýšenú hrozbu pre cieľové entity.

AceCryptor sa používa na poskytovanie škodlivých hrozieb v neskoršom štádiu

AceCryptor je bežne spárovaný s malvérom, ako sú Remcos alebo Rescoms , ktoré slúžia ako účinné nástroje vzdialeného sledovania, ktoré sa často používajú pri útokoch proti organizáciám na Ukrajine. Vedľa Remcos a dobre známeho SmokeLoader teraz výskumníci pozorovali, ako AceCryptor šíri ďalšie kmene malvéru, vrátane variantov STOP/Djvu Ransomware a Vidar Stealer .

Okrem toho výskumníci zaznamenali v cieľových krajinách odlišné vzorce. Kým SmokeLoader bol zapojený do útokov na Ukrajine, incidenty v Poľsku, na Slovensku, v Bulharsku a Srbsku obsahovali použitie Remcos.

V precízne organizovaných kampaniach bol AceCryptor využívaný na zacielenie na viaceré európske krajiny s cieľom získať citlivé informácie alebo vytvoriť počiatočný prístup k rôznym spoločnostiam. K distribúcii malvéru pri týchto útokoch často dochádzalo prostredníctvom spamových e-mailov, z ktorých niektoré boli pozoruhodne presvedčivé; občas boli legitímne e-mailové účty unesené a zneužité na odosielanie týchto zavádzajúcich správ.

Primárnym cieľom najnovšej operácie je získať e-mailové a prehliadačové poverenia určené na ďalšie útoky proti cieľovým spoločnostiam. Je pozoruhodné, že väčšina zaznamenaných incidentov AceCryptor slúžila ako počiatočný bod kompromisu v týchto útokoch.

Ciele AceCryptor sa v roku 2023 zmenili

V šiestich mesiacoch roku 2023 boli malvérom naplneným AceCryptorom primárne postihnuté Peru, Mexiko, Egypt a Turecko, pričom Peru trpelo 4 700 útokmi. V druhej polovici roka však hackeri výrazne zmenili svoje zameranie na európske krajiny, najmä Poľsko, ktoré prežilo viac ako 26 000 útokov. Ukrajina, Španielsko a Srbsko boli tiež vystavené tisíckam útokov.

V druhej polovici roka sa Rescoms ukázal ako prevládajúca rodina škodlivého softvéru distribuovaného prostredníctvom AceCryptor s viac ako 32 000 incidentmi. Poľsko predstavovalo viac ako polovicu týchto výskytov, nasledovalo Srbsko, Španielsko, Bulharsko a Slovensko.

Útoky zamerané na poľské podniky mali podobné témy, ktoré sa často tvárili ako ponuky B2B relevantné pre viktimizované spoločnosti. Hackeri použili vo svojich e-mailoch skutočné názvy poľských spoločností a existujúce identity zamestnancov, aby dodali dôveryhodnosť. Motívy týchto útokov zostávajú nejednoznačné; nie je isté, či sa hackeri snažia zneužiť ukradnuté poverenia na osobné použitie alebo ich predávať iným aktérom hrozieb.

V súčasnosti dostupné dôkazy nedokážu definitívne pripísať útočné kampane konkrétnemu zdroju. Je však potrebné poznamenať, že hackeri pridružení k ruskej vláde opakovane zamestnávali Remcos a SmokeLoader vo svojich operáciách.