AceCryptor Malware

Shumë raste të reja të infeksionit të lidhura me mjetin AceCryptor janë shfaqur, duke treguar një prirje shqetësuese. Ky mjet, i favorizuar nga hakerat për aftësinë e tij për të kamufluar malware dhe për të infiltruar sisteme të pazbuluara nga mbrojtjet konvencionale kundër malware, është përdorur në një fushatë që synon organizatat në të gjithë Evropën. Studiuesit që kanë monitoruar aktivitetet e AceCryptor për vite me radhë, vërejnë një ndryshim të veçantë në këtë fushatë të fundit. Ndryshe nga rastet e mëparshme, sulmuesit kanë zgjeruar gamën e kodit të manipuluar të bashkuar brenda shfrytëzimeve të tyre, duke paraqitur kërcënime të shtuara për entitetet e synuara.

AceCryptor përdoret për shpërndarjen e kërcënimeve të dëmshme në fazën e vonë

AceCryptor zakonisht çiftohet me malware si Remcos ose Rescoms , të cilët shërbejnë si mjete të fuqishme të mbikëqyrjes në distancë që përdoren shpesh në sulmet kundër organizatave në Ukrainë. Krahas Remcos dhe SmokeLoader-it të mirënjohur, studiuesit tani kanë vëzhguar AceCryptor duke shpërndarë lloje të tjera malware, duke përfshirë variantet e STOP/Djvu Ransomware dhe Vidar Stealer .

Për më tepër, studiuesit kanë vërejtur modele të dallueshme në vendet e synuara. Ndërsa SmokeLoader u përfshi në sulme në Ukrainë, incidentet në Poloni, Sllovaki, Bullgari dhe Serbi shfaqën përdorimin e Remcos.

Në fushatat e orkestruara me përpikëri, AceCryptor është përdorur për të synuar shumë vende evropiane, duke synuar të nxjerrë informacione të ndjeshme ose të krijojë akses fillestar në kompani të ndryshme. Shpërndarja e malware në këto sulme shpesh ndodhte përmes emaileve të padëshiruara, disa prej të cilave ishin jashtëzakonisht bindëse; herë pas here, llogaritë legjitime të emailit rrëmbeheshin dhe abuzoheshin për të dërguar këto mesazhe mashtruese.

Objektivi kryesor i operacionit të fundit është të marrë kredencialet e emailit dhe shfletuesit të destinuara për sulme të mëtejshme kundër kompanive të synuara. Veçanërisht, shumica e incidenteve të regjistruara të AceCryptor kanë shërbyer si pika fillestare e kompromisit në këto sulme.

Objektivat e AceCryptor kanë ndryshuar gjatë gjithë vitit 2023

Në gjashtë muajt e vitit 2023, vendet e prekura kryesisht nga malware i mbushur me AceCryptor ishin Peruja, Meksika, Egjipti dhe Turqia me Perunë që mbante peshën e 4700 sulmeve. Megjithatë, në një ndryshim të dukshëm gjatë gjysmës së dytë të vitit, hakerët e ridrejtuan fokusin e tyre drejt kombeve evropiane, veçanërisht Polonisë, e cila duroi mbi 26,000 sulme. Ukraina, Spanja dhe Serbia gjithashtu iu nënshtruan mijëra sulmeve.

Gjatë gjysmës së dytë të vitit, Rescoms u shfaq si familja mbizotëruese e malware e shpërndarë përmes AceCryptor, me mbi 32,000 incidente. Polonia përbënte më shumë se gjysmën e këtyre dukurive, e ndjekur nga Serbia, Spanja, Bullgaria dhe Sllovakia.

Sulmet që synonin bizneset polake ndanin tema të ngjashme, shpesh duke u maskuar si oferta B2B të rëndësishme për kompanitë e viktimizuara. Hakerët përdorën emra të vërtetë kompanish polake dhe identitete ekzistuese të punonjësve në emailet e tyre për të dhënë besueshmëri. Motivet pas këtyre sulmeve mbeten të paqarta; është e pasigurt nëse hakerët synojnë të shfrytëzojnë kredencialet e vjedhura për përdorim personal apo t'ia japin ato aktorëve të tjerë të kërcënimit.

Aktualisht, provat e disponueshme nuk arrijnë t'i atribuojnë përfundimisht fushatat e sulmit në një burim specifik. Megjithatë, vlen të përmendet se hakerat e lidhur me qeverinë ruse kanë përdorur në mënyrë të përsëritur Remcos dhe SmokeLoader në operacionet e tyre.