Zlonamerna programska oprema AceCryptor

Pojavili so se številni novi primeri okužb, povezanih z orodjem AceCryptor, kar kaže na zaskrbljujoč trend. To orodje, ki ga imajo hekerji naklonjeni zaradi njegove sposobnosti, da prikrije zlonamerno programsko opremo in se infiltrira v sisteme, ne da bi jih zaznala običajna obramba proti zlonamerni programski opremi, je bilo uporabljeno v kampanji, namenjeni organizacijam po vsej Evropi. Raziskovalci, ki so leta spremljali dejavnosti AceCryptorja, opažajo značilen premik v tej nedavni kampanji. Za razliko od prejšnjih primerov so napadalci razširili obseg spremenjene kode, ki je združena v njihovih izkoriščanjih, kar predstavlja povečano grožnjo za ciljne subjekte.

AceCryptor se uporablja za dostavo škodljivih groženj v pozni fazi

AceCryptor je običajno povezan z zlonamerno programsko opremo, kot sta Remcos ali Rescoms , ki služita kot močna orodja za oddaljeni nadzor, ki se pogosto uporabljajo pri napadih na organizacije v Ukrajini. Poleg Remcosa in dobro znanega SmokeLoaderja so raziskovalci zdaj opazili, da AceCryptor razširja druge vrste zlonamerne programske opreme, vključno z različicami izsiljevalske programske opreme STOP/Djvu in Vidar Stealerja .

Poleg tega so raziskovalci opazili različne vzorce v ciljnih državah. Medtem ko je bil SmokeLoader vpleten v napade v Ukrajini, so incidenti na Poljskem, Slovaškem, v Bolgariji in Srbiji pokazali uporabo Remcosa.

V natančno organiziranih kampanjah je bil AceCryptor uporabljen za ciljanje na več evropskih držav, s ciljem pridobivanja občutljivih informacij ali vzpostavitve začetnega dostopa do različnih podjetij. Distribucija zlonamerne programske opreme v teh napadih je pogosto potekala prek neželene elektronske pošte, od katerih so bile nekatere izjemno prepričljive; občasno so bili legitimni e-poštni računi ugrabljeni in zlorabljeni za pošiljanje teh zavajajočih sporočil.

Primarni cilj najnovejše operacije je pridobiti e-pošto in poverilnice brskalnika, namenjene nadaljnjim napadom na ciljna podjetja. Predvsem je večina zabeleženih incidentov AceCryptor služila kot začetna točka kompromisa v teh napadih.

Cilji AceCryptorja so se v letu 2023 zamenjali

V šestih mesecih leta 2023 so bile države, ki jih je zlonamerna programska oprema, polna AceCryptor, najbolj prizadeta Peru, Mehika, Egipt in Turčija, pri čemer je Peru nosil glavno breme 4700 napadov. Vendar pa so v drugi polovici leta hekerji svojo pozornost preusmerili na evropske države, zlasti na Poljsko, ki je prestala več kot 26.000 napadov. Na tisoče napadov so bile deležne tudi Ukrajina, Španija in Srbija.

V drugi polovici leta je Rescoms postal prevladujoča družina zlonamerne programske opreme, ki se distribuira prek AceCryptorja, z več kot 32.000 incidenti. Več kot polovica teh dogodkov je bila na Poljskem, sledijo pa ji Srbija, Španija, Bolgarija in Slovaška.

Napadi, usmerjeni na poljska podjetja, so imeli podobno tematiko, pogosto zamaskirano kot B2B ponudbe, pomembne za prizadeta podjetja. Hekerji so v svojih elektronskih sporočilih uporabili pristna imena poljskih podjetij in obstoječe identitete zaposlenih, da bi povečali verodostojnost. Motivi za temi napadi ostajajo dvoumni; ni gotovo, ali nameravajo hekerji izkoristiti ukradene poverilnice za osebno uporabo ali jih prodati drugim akterjem groženj.

Trenutno razpoložljivi dokazi ne morejo dokončno pripisati napadalnih kampanj določenemu viru. Vendar je treba omeniti, da so hekerji, povezani z rusko vlado, v svojih operacijah vedno znova uporabljali Remcos in SmokeLoader.