VexTrio
Istraživači Infoseca otkrili su više od 70.000 web stranica za koje se vjeruje da su legitimne, a koje su otete i uključene u mrežu koju kriminalci koriste za širenje zlonamjernog softvera, hostiranje stranica za krađu identiteta i dijeljenje drugog nezakonitog sadržaja. Ova mreža, koja se naziva VexTrio, prvenstveno je djelovala neprimijećena od svoje uspostave 2017. ili možda ranije. Međutim, nedavna otkrića iznijela su više informacija o prirodi ove operacije.
Sadržaj
VexTrio je značajna operacija koja može dovesti do ozbiljnih sigurnosnih problema
Proces koji koriste kibernetički kriminalci nije toliko složen, nalikuje sustavima za distribuciju prometa (TDS) koji se obično koriste u području marketinga za usmjeravanje internetskih korisnika do određenih stranica na temelju njihovih interesa ili sličnih kriterija.
U kontekstu VexTrio-a, deseci tisuća web-mjesta su ugroženi, preusmjeravajući svoje posjetitelje na stranice koje omogućavaju preuzimanje zlonamjernog softvera, prikazuju krivotvorena sučelja za prijavu za krađu vjerodajnica ili sudjeluju u drugim prijevarnim ili cyber-kriminalnim aktivnostima.
Vjeruje se da je približno 60 podružnica uključeno u mrežu u različitim svojstvima. Neki partneri doprinose kompromitiranim web stranicama, usmjeravajući mete na VexTrio TDS infrastrukturu, koja potom usmjerava preglednike žrtava prema štetnim stranicama. TDS obično preusmjerava pojedince samo ako ispunjavaju određene kriterije.
VexTrio naplaćuje naknadu od pojedinaca koji upravljaju lažnim web-mjestima za usmjeravanje internetskog prometa na svoj način, pri čemu pojedinci koji su osigurali kompromitirana web-mjesta također dobivaju udio. Osim toga, TDS može uputiti korisnike na web stranice za prijevare kojima upravlja sama VexTrio ekipa, dopuštajući kriminalcima da izravno profitiraju od svojih lažnih aktivnosti. VexTrio predstavlja značajan sigurnosni rizik zbog svog širokog dosega i sofisticirane postavke.
VexTrio se koristi za isporuku štetnih prijetnji zlonamjernim softverom žrtvama
Jedan soj zlonamjernog softvera koji se distribuira putem VexTrio je SocGholish , također poznat kao FakeUpdates, i pojavio se kao jedan od najraširenijih sojeva zlonamjernog softvera od početka 2024. godine.
SocGholish, kodiran u JavaScriptu, obično se aktivira kada korisnik posjeti kompromitirano web mjesto. Posebno cilja na Windows strojeve, predstavljajući se kao ažuriranje preglednika. Ako korisniku koji ništa ne sumnja dopusti da ga instalira i zatim pokrene, SocGholish zarazi njihovo računalo backdoor zlonamjernim softverom, ransomwareom i drugim zlonamjernim komponentama. Naime, primijećeno je da SocGholish isporučuje GootLoader , Dridex , NetSupport , DoppelPaymer i AZORult na strojeve žrtava. Zlonamjerni softver pripisuje se financijski motiviranoj skupini identificiranoj kao TA569 i UNC1543.
Osim toga, postoje dokazi koji sugeriraju da se VexTrio koristi za distribuciju zlonamjernog softvera ClearFake koji krade informacije.
Ransomware grupe pokupile su rekordne otkupnine od žrtava
U 2023. kibernetičke kriminalne skupine specijalizirane za prijetnje ransomwareom doživjele su značajan preporod, premašivši 1 milijardu dolara u plaćanjima i signalizirajući značajan porast u opsegu i složenosti njihovih napada. Ovo je označilo značajno odstupanje od uočenog pada u 2022. Istraživači ističu da ukupni trend od 2019. do 2023. ukazuje na trajan i rastući problem unatoč privremenom smanjenju plaćanja ransomwarea tijekom 2022. Bitno je napomenuti da navedena brojka ne obuhvaća puni ekonomski učinak, uključujući gubitak produktivnosti i troškove popravka koje su pretrpjele žrtve.
Uistinu, 2023. je došlo do značajnog porasta učestalosti, opsega i opsega napada ransomwarea koje je orkestrirao raznolik niz aktera, uključujući velike sindikate, manje grupe i pojedince. Pojava Initial Access Brokera (IAB) odigrala je ključnu ulogu u olakšavanju ovih napada pružanjem pristupa mrežama, koje su kasnije prodavali napadačima ransomwarea po relativno niskoj cijeni.
Što se tiče odredišta za sredstva dobivena kao plaćanja otkupnine, centralizirane mjenjačnice i mikseri dosljedno su favorizirani za sheme pranja novca. Međutim, 2023. pojavile su se nove usluge, poput mostova, instant mjenjača i usluga kockanja, koje su brzo postale popularne.
