VexTrio
Els investigadors d'Infosec han descobert més de 70.000 llocs web que es creu que són legítims que han estat segrestats i incorporats a una xarxa utilitzada per delinqüents per difondre programari maliciós, allotjar pàgines de pesca i compartir altres continguts il·lícits. Aquesta xarxa, anomenada VexTrio, ha funcionat principalment sense ser detectada des de la seva creació el 2017 o possiblement abans. No obstant això, les revelacions recents han aportat més informació sobre la naturalesa d'aquesta operació.
Taula de continguts
VexTrio és una operació considerable que podria provocar problemes de seguretat greus
El procés utilitzat pels ciberdelinqüents no és tan complex, s'assembla als sistemes de distribució de trànsit (TDS) que s'utilitzen habitualment en l'àmbit del màrqueting per guiar els usuaris d'Internet a llocs específics en funció dels seus interessos o criteris similars.
En el context de VexTrio, desenes de milers de llocs web es veuen compromesos, redirigint els seus visitants a pàgines que faciliten les descàrregues de programari maliciós, mostren interfícies d'inici de sessió falsificades per robar credencials o participen en altres activitats fraudulentes o cibercriminals.
Es creu que uns 60 afiliats participen a la xarxa en diferents funcions. Alguns socis aporten llocs web compromesos, dirigint objectius a la infraestructura TDS de VexTrio, que després dirigeix els navegadors de les víctimes cap a pàgines perjudicials. El TDS normalment redirigeix les persones només si compleixen uns criteris específics.
VexTrio cobra una tarifa a les persones que operen llocs fraudulents per canalitzar el trànsit web a la seva manera, i les persones que van proporcionar els llocs web compromesos també reben una quota. A més, el TDS pot guiar els usuaris a llocs web d'estafa gestionats per la pròpia tripulació de VexTrio, permetent als delinqüents beneficiar-se directament de les seves activitats fraudulentes. VexTrio suposa un risc de seguretat important a causa del seu ampli abast i de la seva sofisticada configuració.
VexTrio s'utilitza per lliurar amenaces de programari maliciós perjudicial a les víctimes
Una varietat de programari maliciós distribuïda a través de VexTrio és SocGholish , també coneguda com a FakeUpdates, i s'ha convertit en una de les soques de programari maliciós més freqüents des de principis de 2024.
SocGholish, codificat en JavaScript, normalment s'activa quan un usuari visita un lloc web compromès. S'adreça específicament a les màquines Windows, presentant-se com una actualització del navegador. Si l'usuari desprevingut permet que l'instal·li i l'executi, SocGholish infecta el seu ordinador amb programari maliciós de porta posterior, ransomware i altres components maliciosos. En particular, s'ha observat que SocGholish envia GootLoader , Dridex , NetSupport , DoppelPaymer i AZORult a les màquines de les víctimes. El programari maliciós s'atribueix a un grup de motivació financera identificat com a TA569 i UNC1543.
A més, hi ha proves que suggereixen que VexTrio s'utilitza per distribuir el programari maliciós ClearFake que roba informació.
Els grups de ransomware van obtenir un rècord de pagaments de rescat de les víctimes
El 2023, els grups cibercriminals especialitzats en amenaces de ransomware van experimentar un notable ressorgiment, superant els 1.000 milions de dòlars en pagaments i assenyalant un augment substancial de l'escala i la complexitat dels seus atacs. Això va marcar una desviació significativa de la disminució observada el 2022. Els investigadors destaquen que la tendència general del 2019 al 2023 indica un problema persistent i creixent malgrat una disminució temporal dels pagaments de ransomware durant el 2022. És essencial tenir en compte que la xifra informada no inclou el impacte econòmic total, incloses les pèrdues de productivitat i les despeses de reparació de les víctimes.
De fet, el 2023 va veure un augment significatiu de la freqüència, l'escala i el volum dels atacs de ransomware orquestrats per una àmplia gamma d'actors, inclosos grans sindicats, grups més petits i individus. L'aparició d'Initial Access Brokers (IAB) va tenir un paper clau per facilitar aquests atacs proporcionant accés a xarxes, que posteriorment van vendre als atacants de ransomware a un cost relativament baix.
Pel que fa a la destinació dels fons obtinguts com a pagaments de rescat, els intercanvis centralitzats i els mescladors s'han afavorit constantment per als esquemes de blanqueig. Tanmateix, el 2023, van sorgir nous serveis, com ara ponts, intercanviadors instantanis i serveis de jocs d'atzar, que ràpidament van guanyar força.
