VexTrio
Οι ερευνητές της Infosec ανακάλυψαν πάνω από 70.000 ιστότοπους που πιστεύεται ότι είναι νόμιμοι, οι οποίοι έχουν παραβιαστεί και έχουν ενσωματωθεί σε ένα δίκτυο που χρησιμοποιείται από εγκληματίες για τη διάδοση κακόβουλου λογισμικού, τη φιλοξενία σελίδων phishing και την κοινή χρήση άλλου παράνομου περιεχομένου. Αυτό το δίκτυο, που αναφέρεται ως VexTrio, έχει λειτουργήσει κατά κύριο λόγο απαρατήρητο από την ίδρυσή του το 2017 ή πιθανώς νωρίτερα. Ωστόσο, πρόσφατες αποκαλύψεις έφεραν στο φως περισσότερες πληροφορίες σχετικά με τη φύση αυτής της επιχείρησης.
Πίνακας περιεχομένων
Το VexTrio είναι μια σημαντική λειτουργία που θα μπορούσε να οδηγήσει σε σοβαρά ζητήματα ασφάλειας
Η διαδικασία που χρησιμοποιούν οι εγκληματίες του κυβερνοχώρου δεν είναι τόσο περίπλοκη, καθώς μοιάζει με τα συστήματα διανομής κυκλοφορίας (TDS) που χρησιμοποιούνται συνήθως στον τομέα του μάρκετινγκ για να καθοδηγούν τους χρήστες του Διαδικτύου σε συγκεκριμένους ιστότοπους με βάση τα ενδιαφέροντά τους ή παρόμοια κριτήρια.
Στο πλαίσιο του VexTrio, δεκάδες χιλιάδες ιστότοποι παραβιάζονται, ανακατευθύνοντας τους επισκέπτες τους σε σελίδες που διευκολύνουν τη λήψη κακόβουλου λογισμικού, εμφανίζουν πλαστές διεπαφές σύνδεσης για κλοπή διαπιστευτηρίων ή εμπλέκονται σε άλλες δόλιες ή εγκληματικές δραστηριότητες στον κυβερνοχώρο.
Περίπου 60 θυγατρικές πιστεύεται ότι εμπλέκονται στο δίκτυο σε διάφορες ικανότητες. Ορισμένοι συνεργάτες συνεισφέρουν σε παραβιασμένους ιστότοπους, κατευθύνοντας στόχους στην υποδομή TDS της VexTrio, η οποία στη συνέχεια κατευθύνει τα προγράμματα περιήγησης των θυμάτων προς επιβλαβείς σελίδες. Το TDS ανακατευθύνει συνήθως άτομα μόνο εάν πληρούν συγκεκριμένα κριτήρια.
Το VexTrio χρεώνει μια αμοιβή από τα άτομα που διαχειρίζονται δόλιες τοποθεσίες για τη διοχέτευση της κυκλοφορίας στον Ιστό με τον δικό τους τρόπο, με τα άτομα που παρείχαν τους παραβιασμένους ιστότοπους να λαμβάνουν επίσης μερίδιο. Επιπλέον, το TDS μπορεί να καθοδηγήσει τους χρήστες σε ιστοσελίδες απάτης που διαχειρίζεται το ίδιο το πλήρωμα του VexTrio, επιτρέποντας στους εγκληματίες να επωφεληθούν άμεσα από τις δόλιες δραστηριότητές τους. Το VexTrio ενέχει σημαντικό κίνδυνο για την ασφάλεια λόγω της εκτεταμένης εμβέλειας και της εξελιγμένης εγκατάστασης.
Το VexTrio χρησιμοποιείται για την παροχή επιβλαβών απειλών κακόβουλου λογισμικού στα θύματα
Ένα είδος κακόβουλου λογισμικού που διανέμεται μέσω του VexTrio είναι το SocGholish , γνωστό και ως FakeUpdates, και έχει αναδειχθεί ως ένα από τα πιο διαδεδομένα είδη κακόβουλου λογισμικού από τις αρχές του 2024.
Το SocGholish, κωδικοποιημένο σε JavaScript, συνήθως ενεργοποιείται όταν ένας χρήστης επισκέπτεται έναν παραβιασμένο ιστότοπο. Στοχεύει συγκεκριμένα μηχανήματα Windows, παρουσιάζοντας τον εαυτό του ως ενημέρωση προγράμματος περιήγησης. Εάν επιτρέπεται να εγκατασταθεί και στη συνέχεια να εκτελεστεί από τον ανυποψίαστο χρήστη, το SocGholish μολύνει τον υπολογιστή του με κακόβουλο λογισμικό backdoor, ransomware και άλλα κακόβουλα στοιχεία. Σημειωτέον, έχει παρατηρηθεί ότι το SocGholish παραδίδει GootLoader , Dridex , NetSupport , DoppelPaymer και AZORult σε μηχανήματα των θυμάτων. Το κακόβουλο λογισμικό αποδίδεται σε μια ομάδα με οικονομικά κίνητρα που προσδιορίζεται ως TA569 και UNC1543.
Επιπλέον, υπάρχουν στοιχεία που υποδηλώνουν ότι το VexTrio χρησιμοποιείται για τη διανομή του κακόβουλου λογισμικού ClearFake που κλέβει πληροφορίες.
Ομάδες Ransomware καρπώθηκαν ρεκόρ πληρωμών λύτρων από θύματα
Το 2023, ομάδες κυβερνοεγκληματιών που ειδικεύονται σε απειλές ransomware γνώρισαν μια αξιοσημείωτη αναζωπύρωση, ξεπερνώντας το 1 δισεκατομμύριο δολάρια σε πληρωμές και σηματοδοτώντας μια σημαντική αύξηση στην κλίμακα και την πολυπλοκότητα των επιθέσεων τους. Αυτό σηματοδότησε μια σημαντική απόκλιση από την παρατηρούμενη πτώση το 2022. Οι ερευνητές υπογραμμίζουν ότι η συνολική τάση από το 2019 έως το 2023 υποδεικνύει ένα επίμονο και αυξανόμενο πρόβλημα παρά την προσωρινή μείωση των πληρωμών ransomware κατά τη διάρκεια του 2022. Είναι σημαντικό να σημειωθεί ότι το αναφερόμενο ποσοστό δεν περιλαμβάνει πλήρης οικονομικός αντίκτυπος, συμπεριλαμβανομένης της απώλειας παραγωγικότητας και των εξόδων επισκευής των θυμάτων.
Πράγματι, το 2023 είδε μια σημαντική αύξηση στη συχνότητα, την κλίμακα και τον όγκο των επιθέσεων ransomware που ενορχηστρώθηκαν από μια ποικιλία παραγόντων, συμπεριλαμβανομένων μεγάλων συνδικάτων, μικρότερων ομάδων και ατόμων. Η εμφάνιση των Initial Access Brokers (IABs) έπαιξε βασικό ρόλο στη διευκόλυνση αυτών των επιθέσεων παρέχοντας πρόσβαση σε δίκτυα, τα οποία στη συνέχεια πούλησαν σε εισβολείς ransomware με σχετικά χαμηλό κόστος.
Όσον αφορά τον προορισμό για τα κεφάλαια που λαμβάνονται ως πληρωμές λύτρων, τα κεντρικά χρηματιστήρια και οι μίκτες ευνοούνται σταθερά για συστήματα νομιμοποίησης εσόδων από παράνομες δραστηριότητες. Ωστόσο, το 2023, νέες υπηρεσίες, όπως γέφυρες, άμεσοι εναλλάκτες και υπηρεσίες τυχερών παιχνιδιών, εμφανίστηκαν και κέρδισαν γρήγορα έλξη.
