AceCryptori pahavara

On ilmnenud arvukalt uusi AceCryptori tööriistaga seotud nakkusjuhtumeid, mis viitavad murettekitavale suundumusele. Seda tööriista, mida häkkerid eelistavad, kuna see suudab maskeerida pahavara ja tungida süsteemidesse, mida tavapärased pahavaravastased kaitsemehhanismid ei tuvasta, on kasutatud kampaanias, mis on suunatud organisatsioonidele kogu Euroopas. Teadlased, kes on AceCryptori tegevust aastaid jälginud, täheldavad selles hiljutises kampaanias erilist nihet. Erinevalt varasematest juhtumitest on ründajad laiendanud oma ärakasutamistega seotud võltsitud koodide valikut, seades sihtüksustele suuremat ohtu.

AceCryptorit kasutatakse kahjulike hilises staadiumis ohtude edastamiseks

AceCryptor on tavaliselt seotud pahavaraga, nagu Remcos või Rescoms , mis toimivad tõhusate kaugseirevahenditena, mida sageli kasutatakse Ukraina organisatsioonide vastu suunatud rünnakutes. Lisaks Remcosele ja tuntud SmokeLoaderile on teadlased nüüd täheldanud, et AceCryptor levitab teisi pahavara tüvesid, sealhulgas STOP/Djvu Ransomware ja Vidar Stealeri variante.

Lisaks on teadlased märkinud sihtriikides erinevaid mustreid. Kui SmokeLoader osales rünnakutes Ukrainas, siis Poolas, Slovakkias, Bulgaarias ja Serbias esines Remcose kasutamist.

Täpselt korraldatud kampaaniates on AceCryptorit kasutatud mitme Euroopa riigi sihtimiseks, eesmärgiga hankida tundlikku teavet või luua esialgne juurdepääs erinevatele ettevõtetele. Pahavara levitamine nendes rünnakutes toimus sageli rämpsposti teel, millest mõned olid märkimisväärselt veenvad; aeg-ajalt kaaperdati seaduslikud meilikontod ja neid kuritarvitati nende eksitavate sõnumite saatmiseks.

Viimase operatsiooni esmane eesmärk on hankida e-posti ja brauseri mandaadid, mis on ette nähtud sihtettevõtete vastu suunatud edasisteks rünnakuteks. Eelkõige on enamik registreeritud AceCryptori juhtumeid olnud nende rünnakute esialgseks kompromissipunktiks.

AceCryptori eesmärgid on 2023. aasta jooksul muutunud

2023. aasta kuue kuu jooksul olid AceCryptoriga pakitud pahavarast peamiselt mõjutatud riigid Peruu, Mehhiko, Egiptus ja Türgi ning Peruu kandis 4700 rünnakut. Aasta teisel poolel toimunud märkimisväärse nihkena suunasid häkkerid oma tähelepanu Euroopa riikidele, eriti Poolale, kes kannatas üle 26 000 rünnaku. Tuhandete rünnakute ohvriks langesid ka Ukraina, Hispaania ja Serbia.

Aasta teisel poolel tõusis Rescoms üle 32 000 intsidendiga AceCryptori kaudu levitatava ülekaaluka pahavaraperekonnaks. Nendest juhtumitest oli üle poole Poola, järgnesid Serbia, Hispaania, Bulgaaria ja Slovakkia.

Poola ettevõtetele suunatud rünnakute teemad olid sarnased, maskeerides sageli ohvriks langenud ettevõtete jaoks asjakohaseid B2B pakkumisi. Häkkerid kasutasid usaldusväärsuse suurendamiseks oma meilides ehtsaid Poola firmanimesid ja olemasolevaid töötajate identiteete. Nende rünnakute motiivid on endiselt mitmetähenduslikud; pole kindel, kas häkkerite eesmärk on varastatud mandaate isiklikuks kasutamiseks ära kasutada või müüa need teistele ohus osalejatele.

Praegu ei suuda olemasolevad tõendid ründekampaaniaid lõplikult omistada konkreetsele allikale. Siiski väärib märkimist, et Venemaa valitsusega seotud häkkerid on oma tegevuses korduvalt kasutanud Remcosi ja SmokeLoaderit.