АцеЦриптор Малваре

Појавили су се бројни нови случајеви инфекције повезаних са алатом АцеЦриптор, што указује на забрињавајући тренд. Овај алат, који хакери фаворизују због своје способности да камуфлирају малвер и инфилтрирају системе неоткривене конвенционалном одбраном од малвера, коришћен је у кампањи усмереној на организације широм Европе. Истраживачи који су годинама пратили АцеЦрипторове активности примећују карактеристичан помак у овој недавној кампањи. За разлику од ранијих случајева, нападачи су проширили опсег неовлашћеног кода у пакету у оквиру својих експлоатација, представљајући повећане претње за циљане ентитете.

АцеЦриптор се користи за испоруку штетних претњи у касној фази

АцеЦриптор је обично упарен са малвером као што су Ремцос или Ресцомс , који служе као моћни алати за даљински надзор који се често користе у нападима на организације у Украјини. Поред Ремцос-а и добро познатог СмокеЛоадер-а, истраживачи су сада приметили да АцеЦриптор шири друге сојеве малвера, укључујући варијанте СТОП/Дјву Рансомваре- а и Видар Стеалер-а .

Штавише, истраживачи су приметили различите обрасце у циљаним земљама. Док је СмокеЛоадер учествовао у нападима у Украјини, инциденти у Пољској, Словачкој, Бугарској и Србији су укључивали употребу Ремцоса.

У пажљиво оркестрираним кампањама, АцеЦриптор је коришћен за циљање више европских земаља, са циљем да извуче осетљиве информације или успостави почетни приступ различитим компанијама. Дистрибуција злонамерног софтвера у овим нападима се често дешавала путем нежељене е-поште, од којих су неки били изузетно убедљиви; повремено су легитимни налози е-поште били отети и злоупотребљени за слање ових обмањујућих порука.

Примарни циљ најновије операције је стицање акредитива за е-пошту и претраживач намењен даљим нападима на циљане компаније. Значајно је да је већина забележених АцеЦриптор инцидената послужила као почетна тачка компромиса у овим нападима.

АцеЦриптор-ови циљеви су се променили током 2023

У шест месеци 2023. године, земље на које је превасходно утицао малвер препун АцеЦриптор-а били су Перу, Мексико, Египат и Турска, а Перу је сносио терет од 4.700 напада. Међутим, у значајној промени током друге половине године, хакери су преусмерили свој фокус на европске нације, посебно на Пољску, која је претрпела преко 26.000 напада. Украјина, Шпанија и Србија такође су биле изложене хиљадама напада.

Током друге половине године, Ресцомс се појавио као доминантна породица злонамерног софтвера дистрибуираног преко АцеЦриптор-а, са преко 32.000 инцидената. Више од половине ових појава чини Пољска, а следе Србија, Шпанија, Бугарска и Словачка.

Напади усмерени на пољска предузећа делили су сличне линије, често маскиране као Б2Б понуде релевантне за компаније које су жртве. Хакери су користили оригинална имена пољских компанија и постојеће идентитете запослених у својим имејловима како би пружили кредибилитет. Мотиви иза ових напада остају двосмислени; неизвесно је да ли хакери имају за циљ да искористе украдене акредитиве за личну употребу или их продају другим актерима претњи.

Тренутно, расположиви докази не успевају да дефинитивно припишу кампање напада одређеном извору. Међутим, вреди напоменути да су хакери повезани са руском владом периодично запошљавали Ремцос и СмокеЛоадер у својим операцијама.