תוכנה זדונית של AceCryptor

הופיעו מקרים חדשים רבים של זיהום הקשורים לכלי AceCryptor, מה שמצביע על מגמה מדאיגה. כלי זה, המועדף על ידי האקרים בשל יכולתו להסוות תוכנות זדוניות ולחדור למערכות שלא זוהו על ידי הגנות קונבנציונליות נגד תוכנות זדוניות, נוצל בקמפיין המכוון לארגונים ברחבי אירופה. חוקרים שעוקבים אחר הפעילות של AceCryptor במשך שנים רואים שינוי בולט בקמפיין האחרון. שלא כמו מקרים קודמים, התוקפים הרחיבו את מגוון הקודים המבולבלים המצורפים במעלליהם, והיוו איומים מוגברים על ישויות ממוקדות.

AceCryptor משמש למסירה של איומים מזיקים בשלב מאוחר

AceCryptor משודך בדרך כלל עם תוכנות זדוניות כגון Remcos או Rescoms , המשמשות ככלי מעקב מרחוק רבי עוצמה המשמשים לעתים קרובות בהתקפות נגד ארגונים באוקראינה. לצד Remcos וה- SmokeLoader הידוע, חוקרים צפו כעת ב-AceCryptor מפיץ זני תוכנות זדוניות אחרות, כולל גרסאות של STOP/Djvu Ransomware ו- Vidar Stealer .

יתרה מכך, חוקרים ציינו דפוסים ברורים במדינות היעד. בעוד SmokeLoader היה מעורב בתקיפות באוקראינה, תקריות בפולין, סלובקיה, בולגריה וסרביה כללו שימוש ב- Remcos.

בקמפיינים המתוזמרים בקפידה, AceCryptor מינפה כדי למקד למספר מדינות באירופה, במטרה לחלץ מידע רגיש או ליצור גישה ראשונית לחברות שונות. ההפצה של תוכנות זדוניות בהתקפות אלו התרחשה לעתים קרובות באמצעות הודעות דואר זבל, שחלקן היו משכנעות להפליא; מדי פעם, חשבונות אימייל לגיטימיים נחטפו וניצלו לרעה כדי לשלוח הודעות מטעות אלו.

המטרה העיקרית של הפעולה האחרונה היא רכישת אישורי דוא"ל ודפדפן המיועדים לתקיפות נוספות נגד החברות הממוקדות. יש לציין שרוב תקריות AceCryptor שתועדו שימשו כנקודת הפשרה הראשונית בהתקפות אלו.

היעדים של AceCryptor התחלפו במהלך 2023

בששת החודשים של 2023, המדינות שהושפעו בעיקר מתוכנות זדוניות עמוסות ב-AceCryptor היו פרו, מקסיקו, מצרים וטורקיה, כאשר פרו נושאת את הנטל של 4,700 התקפות. עם זאת, בשינוי בולט במהלך המחצית השנייה של השנה, האקרים הפנו את המיקוד שלהם לעבר מדינות אירופה, במיוחד פולין, שספגה למעלה מ-26,000 התקפות. גם אוקראינה, ספרד וסרביה היו נתונים לאלפי תקיפות.

במהלך המחצית השנייה של השנה, Rescoms התגלתה כמשפחת התוכנות הזדוניות העיקריות המופצות באמצעות AceCryptor, עם למעלה מ-32,000 תקריות. פולין היוותה יותר ממחצית מהאירועים הללו, ואחריה סרביה, ספרד, בולגריה וסלובקיה.

התקפות המכוונות לעסקים פולניים חלקו קווי נושא דומים, לעתים קרובות התחזו להצעות B2B רלוונטיות לחברות שנפגעו. ההאקרים השתמשו בשמות חברות פולניים אמיתיים ובזהויות עובדים קיימות בדוא"ל שלהם כדי להעניק אמינות. המניעים מאחורי התקפות אלה נותרו מעורפלים; לא בטוח אם ההאקרים שואפים לנצל אישורים גנובים לשימוש אישי או למסור אותם לגורמי איומים אחרים.

נכון לעכשיו, הראיות הזמינות לא מצליחות לייחס את מסעות התקיפה למקור ספציפי באופן סופי. עם זאת, ראוי לציין שהאקרים המזוהים עם ממשלת רוסיה העסיקו שוב ושוב את Remcos ו-SmokeLoader בפעילותם.