Κακόβουλο λογισμικό AceCryptor

Έχουν προκύψει πολυάριθμες νέες περιπτώσεις μόλυνσης που συνδέονται με το εργαλείο AceCryptor, υποδεικνύοντας μια ανησυχητική τάση. Αυτό το εργαλείο, που ευνοείται από τους χάκερ για την ικανότητά του να καμουφλάρει κακόβουλο λογισμικό και να διεισδύει σε συστήματα που δεν εντοπίζονται από συμβατικές άμυνες κατά του κακόβουλου λογισμικού, έχει χρησιμοποιηθεί σε μια εκστρατεία που απευθύνεται σε οργανισμούς σε όλη την Ευρώπη. Οι ερευνητές που παρακολουθούν τις δραστηριότητες του AceCryptor για χρόνια παρατηρούν μια χαρακτηριστική αλλαγή σε αυτήν την πρόσφατη καμπάνια. Σε αντίθεση με προηγούμενες περιπτώσεις, οι επιτιθέμενοι έχουν διευρύνει το εύρος του παραποιημένου κώδικα που περιλαμβάνεται στο πλαίσιο των εκμεταλλεύσεών τους, θέτοντας αυξημένες απειλές για στοχευμένες οντότητες.

Το AceCryptor χρησιμοποιείται για την παράδοση επιβλαβών απειλών τελικού σταδίου

Το AceCryptor συνήθως συνδυάζεται με κακόβουλο λογισμικό όπως το Remcos ή το Rescoms , τα οποία χρησιμεύουν ως ισχυρά εργαλεία απομακρυσμένης επιτήρησης που χρησιμοποιούνται συχνά σε επιθέσεις εναντίον οργανισμών στην Ουκρανία. Μαζί με το Remcos και το γνωστό SmokeLoader, οι ερευνητές έχουν τώρα παρατηρήσει το AceCryptor να διαδίδει άλλα στελέχη κακόβουλου λογισμικού, συμπεριλαμβανομένων παραλλαγών του STOP/Djvu Ransomware και του Vidar Stealer .

Επιπλέον, οι ερευνητές έχουν σημειώσει διαφορετικά μοτίβα στις στοχευόμενες χώρες. Ενώ το SmokeLoader συμμετείχε σε επιθέσεις στην Ουκρανία, επεισόδια στην Πολωνία, τη Σλοβακία, τη Βουλγαρία και τη Σερβία περιλάμβαναν τη χρήση του Remcos.

Σε σχολαστικά ενορχηστρωμένες καμπάνιες, το AceCryptor έχει αξιοποιηθεί για να στοχεύσει πολλές ευρωπαϊκές χώρες, με στόχο την εξαγωγή ευαίσθητων πληροφοριών ή την αρχική πρόσβαση σε διάφορες εταιρείες. Η διανομή κακόβουλου λογισμικού σε αυτές τις επιθέσεις γινόταν συχνά μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, μερικά από τα οποία ήταν εξαιρετικά πειστικά. περιστασιακά, νόμιμοι λογαριασμοί ηλεκτρονικού ταχυδρομείου παραβιάστηκαν και καταχράστηκαν για την αποστολή αυτών των παραπλανητικών μηνυμάτων.

Ο πρωταρχικός στόχος της τελευταίας επιχείρησης είναι η απόκτηση διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου και προγράμματος περιήγησης που προορίζονται για περαιτέρω επιθέσεις κατά των στοχευόμενων εταιρειών. Συγκεκριμένα, η πλειονότητα των καταγεγραμμένων περιστατικών του AceCryptor έχει χρησιμεύσει ως το αρχικό σημείο συμβιβασμού σε αυτές τις επιθέσεις.

Οι στόχοι του AceCryptor έχουν αλλάξει καθ' όλη τη διάρκεια του 2023

Το εξάμηνο του 2023, οι χώρες που επηρεάστηκαν κυρίως από κακόβουλο λογισμικό γεμάτο AceCryptor ήταν το Περού, το Μεξικό, η Αίγυπτος και η Τουρκία, με το Περού να φέρει το μεγαλύτερο βάρος 4.700 επιθέσεων. Ωστόσο, σε μια αξιοσημείωτη αλλαγή κατά το δεύτερο εξάμηνο του έτους, οι χάκερ ανακατεύθυναν την εστίασή τους προς τα ευρωπαϊκά έθνη, ιδιαίτερα την Πολωνία, η οποία υπέστη περισσότερες από 26.000 επιθέσεις. Η Ουκρανία, η Ισπανία και η Σερβία δέχθηκαν επίσης χιλιάδες επιθέσεις.

Κατά το δεύτερο εξάμηνο του έτους, το Rescoms εμφανίστηκε ως η κυρίαρχη οικογένεια κακόβουλου λογισμικού που διανέμεται μέσω του AceCryptor, με περισσότερα από 32.000 περιστατικά. Η Πολωνία αντιπροσώπευε περισσότερα από τα μισά από αυτά τα περιστατικά, ακολουθούμενη από τη Σερβία, την Ισπανία, τη Βουλγαρία και τη Σλοβακία.

Οι επιθέσεις που στοχεύουν πολωνικές επιχειρήσεις μοιράζονταν παρόμοια θέματα, συχνά μεταμφιεσμένα σε προσφορές B2B που σχετίζονται με τις θύματα εταιρείες. Οι χάκερ χρησιμοποίησαν αυθεντικά πολωνικά ονόματα εταιρειών και υπάρχουσες ταυτότητες υπαλλήλων στα email τους για να προσδώσουν αξιοπιστία. Τα κίνητρα πίσω από αυτές τις επιθέσεις παραμένουν ασαφή. Είναι αβέβαιο εάν οι χάκερ σκοπεύουν να εκμεταλλευτούν κλεμμένα διαπιστευτήρια για προσωπική χρήση ή να τα πωλήσουν σε άλλους παράγοντες απειλών.

Επί του παρόντος, τα διαθέσιμα στοιχεία αποτυγχάνουν να αποδώσουν οριστικά τις εκστρατείες επίθεσης σε μια συγκεκριμένη πηγή. Ωστόσο, αξίζει να σημειωθεί ότι χάκερ που συνδέονται με τη ρωσική κυβέρνηση έχουν χρησιμοποιήσει επανειλημμένα τις Remcos και SmokeLoader στις δραστηριότητές τους.