VexTrio
Infosec-forskere har afsløret over 70.000 websteder, der menes at være legitime, og som er blevet kapret og indlemmet i et netværk, der bruges af kriminelle til at sprede malware, hoste phishing-sider og dele andet ulovligt indhold. Dette netværk, omtalt som VexTrio, har primært fungeret uopdaget siden dets etablering i 2017 eller muligvis tidligere. Men de seneste afsløringer har bragt flere oplysninger frem i lyset om arten af denne operation.
Indholdsfortegnelse
VexTrio er en betydelig operation, der kan føre til alvorlige sikkerhedsproblemer
Processen, der anvendes af cyberkriminelle, er ikke så kompleks, og ligner de trafikdistributionssystemer (TDS'er), der almindeligvis bruges i markedsføringsområdet til at guide internetbrugere til specifikke websteder baseret på deres interesser eller lignende kriterier.
I forbindelse med VexTrio bliver titusindvis af websteder kompromitteret, og omdirigerer deres besøgende til sider, der letter malware-downloads, viser falske login-grænseflader for tyveri af legitimationsoplysninger eller deltager i andre svigagtige eller cyberkriminelle aktiviteter.
Cirka 60 tilknyttede selskaber menes at være involveret i netværket i forskellige egenskaber. Nogle partnere bidrager med kompromitterede websteder og dirigerer mål til VexTrios TDS-infrastruktur, som derefter styrer ofrenes browsere mod skadelige sider. TDS'en omdirigerer typisk kun personer, hvis de opfylder specifikke kriterier.
VexTrio opkræver et gebyr fra de personer, der driver svigagtige websteder for at kanalisere webtrafik på deres måde, hvor de personer, der har leveret de kompromitterede websteder, også modtager en andel. Derudover kan TDS guide brugere til svindelwebsteder, der drives af VexTrio-besætningen selv, hvilket giver de kriminelle mulighed for at drage direkte fordel af deres svigagtige aktiviteter. VexTrio udgør en betydelig sikkerhedsrisiko på grund af dens omfattende rækkevidde og sofistikerede opsætning.
VexTrio bliver brugt til at levere skadelige malware-trusler til ofre
En malware-stamme distribueret gennem VexTrio er SocGholish , også kendt som FakeUpdates, og den har vist sig som en af de mest udbredte malware-stammer siden begyndelsen af 2024.
SocGholish, kodet i JavaScript, aktiveres typisk, når en bruger besøger et kompromitteret websted. Den er specifikt rettet mod Windows-maskiner og præsenterer sig selv som en browseropdatering. Hvis det får lov til at blive installeret og derefter eksekveret af den intetanende bruger, inficerer SocGholish deres pc med bagdørs malware, ransomware og andre ondsindede komponenter. Det er især blevet observeret, at SocGholish leverer GootLoader , Dridex , NetSupport , DoppelPaymer og AZORult til ofrenes maskiner. Malwaren tilskrives en økonomisk motiveret gruppe identificeret som TA569 og UNC1543.
Derudover er der beviser, der tyder på, at VexTrio bruges til at distribuere den informationstjælende ClearFake malware.
Ransomware-grupper høstede rekordløse løsesumsbetalinger fra ofre
I 2023 oplevede cyberkriminelle grupper med speciale i ransomware-trusler en bemærkelsesværdig genopblussen, der oversteg $1 milliard i betalinger og signalerede en betydelig stigning i omfanget og kompleksiteten af deres angreb. Dette markerede en væsentlig afvigelse fra det observerede fald i 2022. Forskere fremhæver, at den overordnede tendens fra 2019 til 2023 indikerer et vedvarende og voksende problem på trods af et midlertidigt fald i ransomware-betalinger i løbet af 2022. Det er vigtigt at bemærke, at det rapporterede tal ikke omfatter fuld økonomisk virkning, herunder produktivitetstab og reparationsudgifter afholdt af ofre.
Faktisk oplevede 2023 en betydelig stigning i frekvensen, omfanget og mængden af ransomware-angreb orkestreret af en bred vifte af aktører, herunder store syndikater, mindre grupper og enkeltpersoner. Fremkomsten af Initial Access Brokers (IAB'er) spillede en nøglerolle i at lette disse angreb ved at give adgang til netværk, som de efterfølgende solgte til ransomware-angribere til en relativt lav pris.
Med hensyn til destinationen for de midler, der er opnået som løsesum, er centraliserede børser og blandere konsekvent blevet favoriseret til hvidvaskordninger. Men i 2023 dukkede nye tjenester, såsom broer, instant exchangers og gambling-tjenester, op og vandt hurtigt indpas.
