VexTrio
Výzkumníci společnosti Infosec odhalili více než 70 000 webových stránek, které byly považovány za legitimní, které byly uneseny a začleněny do sítě využívané zločinci k šíření malwaru, hostování phishingových stránek a sdílení jiného nezákonného obsahu. Tato síť, označovaná jako VexTrio, funguje primárně nedetekována od svého založení v roce 2017 nebo možná dříve. Nedávná odhalení však přinesla na světlo více informací o povaze této operace.
Obsah
VexTrio je značná operace, která by mohla vést k vážným bezpečnostním problémům
Proces využívaný kybernetickými zločinci není tak složitý, připomíná systémy distribuce provozu (TDS), které se běžně používají v marketingové sféře k navádění uživatelů internetu na konkrétní stránky na základě jejich zájmů nebo podobných kritérií.
V kontextu VexTrio jsou ohroženy desítky tisíc webových stránek, které přesměrovávají své návštěvníky na stránky, které usnadňují stahování malwaru, zobrazují falešná přihlašovací rozhraní pro krádež přihlašovacích údajů nebo se zapojují do jiných podvodných nebo kyberzločineckých aktivit.
Předpokládá se, že do sítě je zapojeno přibližně 60 poboček v různých kapacitách. Někteří partneři přispívají kompromitovanými webovými stránkami a nasměrují cíle do infrastruktury TDS společnosti VexTrio, která pak nasměruje prohlížeče obětí ke škodlivým stránkám. TDS obvykle přesměrovává jednotlivce, pouze pokud splňují určitá kritéria.
VexTrio si účtuje poplatky od jednotlivců provozujících podvodné stránky za směřování webového provozu jejich cestou, přičemž jednotlivci, kteří poskytli napadené webové stránky, také obdrží podíl. Kromě toho může TDS navádět uživatele na podvodné webové stránky provozované samotnou posádkou VexTrio, což umožňuje zločincům přímo profitovat z jejich podvodných aktivit. VexTrio představuje značné bezpečnostní riziko díky svému rozsáhlému dosahu a sofistikovanému nastavení.
VexTrio se používá k poskytování škodlivých hrozeb malwaru obětem
Jedním z kmenů malwaru distribuovaného prostřednictvím VexTrio je SocGholish , také známý jako FakeUpdates, a od začátku roku 2024 se ukázal jako jeden z nejrozšířenějších kmenů malwaru.
SocGholish, kódovaný v JavaScriptu, se obvykle aktivuje, když uživatel navštíví napadený web. Konkrétně se zaměřuje na počítače se systémem Windows a prezentuje se jako aktualizace prohlížeče. Pokud je to povoleno nainstalovat a poté spustit nic netušícím uživatelem, SocGholish infikuje jejich PC malwarem backdoor, ransomware a dalšími škodlivými komponentami. Zejména bylo pozorováno, že SocGholish dodává GootLoader , Dridex , NetSupport , DoppelPaymer a AZORult na stroje obětí. Malware je připisován finančně motivované skupině označené jako TA569 a UNC1543.
Navíc existují důkazy naznačující, že VexTrio se používá k distribuci malwaru ClearFake, který krade informace.
Skupiny ransomwaru sklízely rekordní výkupné od obětí
V roce 2023 zaznamenaly kyberzločinecké skupiny specializující se na hrozby ransomwaru pozoruhodné oživení, přesáhly 1 miliardu dolarů v platbách a signalizovaly podstatný nárůst rozsahu a složitosti jejich útoků. To znamenalo významný odklon od pozorovaného poklesu v roce 2022. Výzkumníci zdůrazňují, že celkový trend od roku 2019 do roku 2023 naznačuje přetrvávající a rostoucí problém navzdory dočasnému poklesu plateb ransomwaru během roku 2022. Je důležité poznamenat, že hlášené číslo nezahrnuje plný ekonomický dopad, včetně ztráty produktivity a nákladů na opravy, které vznikly obětem.
V roce 2023 skutečně došlo k výraznému nárůstu frekvence, rozsahu a objemu ransomwarových útoků řízených různorodým spektrem aktérů, včetně velkých syndikátů, menších skupin a jednotlivců. Vznik Initial Access Brokers (IAB) sehrál klíčovou roli při usnadňování těchto útoků tím, že poskytovali přístup k sítím, které následně prodávali ransomwarovým útočníkům za relativně nízkou cenu.
Pokud jde o místo určení finančních prostředků získaných jako výkupné, centralizované směnárny a směšovače byly soustavně upřednostňovány pro schémata praní. V roce 2023 se však objevily nové služby, jako jsou mosty, okamžité výměníky a služby hazardních her, které rychle získaly pozornost.
