VexTrio
Infosecin tutkijat ovat löytäneet yli 70 000 laillisiksi uskottua verkkosivustoa, jotka on kaapattu ja liitetty verkkoon, jota rikolliset käyttävät haittaohjelmien levittämiseen, tietojenkalastelusivujen ylläpitämiseen ja muun laittoman sisällön jakamiseen. Tämä VexTrio-niminen verkosto on toiminut pääosin huomaamattomasti perustamisestaan vuonna 2017 tai mahdollisesti aiemminkin. Viimeaikaiset paljastukset ovat kuitenkin tuoneet lisää tietoa tämän operaation luonteesta.
Sisällysluettelo
VexTrio on merkittävä operaatio, joka voi johtaa vakaviin tietoturvaongelmiin
Kyberrikollisten käyttämä prosessi ei ole niin monimutkainen, vaan se muistuttaa markkinoinnissa yleisesti käytettyjä liikenteenjakojärjestelmiä (TDS:itä), jotka ohjaavat internetin käyttäjiä tietyille sivustoille heidän kiinnostuksen kohteidensa tai vastaavien kriteerien perusteella.
VexTrion yhteydessä kymmenet tuhannet verkkosivustot vaarantuvat ohjaten vierailijat sivuille, jotka helpottavat haittaohjelmien lataamista, näyttävät väärennettyjä kirjautumisrajapintoja tunnistetietojen varastamista varten tai osallistuvat muihin vilpillisiin tai verkkorikollisiin toimiin.
Noin 60 tytäryhtiötä uskotaan olevan mukana verkostossa eri tehtävissä. Jotkut kumppanit tarjoavat vaarantuneita verkkosivustoja ohjaten kohteet VexTrion TDS-infrastruktuuriin, joka sitten ohjaa uhrien selaimia haitallisille sivuille. TDS tyypillisesti uudelleenohjaa henkilöt vain, jos he täyttävät tietyt kriteerit.
VexTrio veloittaa petollisia sivustoja ylläpitäviltä henkilöiltä maksun verkkoliikenteen kanavoinnista, ja myös vaarantuneet verkkosivustot toimittaneet henkilöt saavat osuuden. Lisäksi TDS voi ohjata käyttäjiä VexTrion miehistön ylläpitämille huijaussivustoille, jolloin rikolliset voivat hyötyä suoraan petollisista toimistaan. VexTrio muodostaa merkittävän tietoturvariskin laajan ulottuvuutensa ja hienostuneen asennuksensa vuoksi.
VexTrioa käytetään haitallisten haittaohjelmien uhrien toimittamiseen uhreille
Yksi VexTrion kautta levitettävä haittaohjelmakanta on SocGholish , joka tunnetaan myös nimellä FakeUpdates, ja se on noussut yhdeksi yleisimmistä haittaohjelmakannoista vuoden 2024 alusta lähtien.
JavaScriptillä koodattu SocGholish aktivoituu yleensä, kun käyttäjä vierailee vaarantuneella verkkosivustolla. Se on kohdistettu erityisesti Windows-koneisiin ja esittelee itsensä selainpäivityksenä. Jos pahaa-aavistamaton käyttäjä saa asentaa sen ja suorittaa sen sitten, SocGholish saastuttaa heidän tietokoneensa takaoven haittaohjelmilla, kiristysohjelmilla ja muilla haitallisilla komponenteilla. Erityisesti SocGholishin on havaittu toimittavan GootLoaderia , Dridexiä , NetSupportia , DoppelPaymeria ja AZORultia uhrien koneille. Haittaohjelma johtuu taloudellisesti motivoituneesta ryhmästä, jonka nimi on TA569 ja UNC1543.
Lisäksi on näyttöä siitä, että VexTrioa käytetään tietoja varastavan ClearFake-haittaohjelman levittämiseen.
Ransomware-ryhmät keräsivät ennätyslunnaat uhreilta
Vuonna 2023 ransomware-uhkiin erikoistuneet kyberrikollisryhmät kokivat huomattavan elpymisen, ylittäen 1 miljardin dollarin maksut ja osoittivat niiden hyökkäysten laajuuden ja monimutkaisuuden huomattavan nousun. Tämä merkitsi merkittävää poikkeamaa vuonna 2022 havaitusta laskusta. Tutkijat korostavat, että yleinen trendi vuosina 2019–2023 viittaa jatkuvaan ja kasvavaan ongelmaan huolimatta kiristysohjelmamaksujen tilapäisestä laskusta vuonna 2022. On tärkeää huomata, että raportoitu luku ei kata kaikki taloudelliset vaikutukset, mukaan lukien tuottavuuden menetys ja uhreille aiheutuneet korjauskulut.
Vuonna 2023 tapahtuikin merkittävä nousu erilaisten toimijoiden, mukaan lukien suuret syndikaatit, pienemmät ryhmät ja yksilöt, järjestämien kiristysohjelmahyökkäysten tiheys, laajuus ja määrä. Initial Access Brokers (IAB:t) syntyi avainasemassa näiden hyökkäysten helpottamisessa tarjoamalla pääsyn verkkoihin, joita he myivät myöhemmin kiristysohjelmien hyökkääjille suhteellisen alhaisella hinnalla.
Lunnaina saatujen varojen määränpään suhteen rahanpesuohjelmissa on jatkuvasti suosittu keskitettyjä pörssejä ja sekoittimia. Vuonna 2023 kuitenkin ilmaantui uusia palveluita, kuten siltoja, pikavaihteita ja uhkapelipalveluita, jotka saivat nopeasti suosion.
