VexTrio
Penyelidik Infosec telah menemui lebih 70,000 tapak web yang dipercayai sah yang telah dirampas dan digabungkan ke dalam rangkaian yang digunakan oleh penjenayah untuk menyebarkan perisian hasad, mengehos halaman pancingan data dan berkongsi kandungan terlarang yang lain. Rangkaian ini, yang dirujuk sebagai VexTrio, kebanyakannya beroperasi tanpa dikesan sejak penubuhannya pada 2017 atau mungkin lebih awal. Walau bagaimanapun, pendedahan baru-baru ini telah membawa lebih banyak maklumat tentang sifat operasi ini.
Isi kandungan
VexTrio Merupakan Operasi Besar yang Boleh Membawa Kepada Isu Keselamatan Yang Teruk
Proses yang digunakan oleh penjenayah siber tidak begitu rumit, menyerupai sistem pengedaran trafik (TDS) yang biasa digunakan dalam bidang pemasaran untuk membimbing pengguna internet ke tapak tertentu berdasarkan minat atau kriteria yang serupa.
Dalam konteks VexTrio, berpuluh-puluh ribu tapak web dikompromi, mengubah hala pelawat mereka ke halaman yang memudahkan muat turun perisian hasad, memaparkan antara muka log masuk palsu untuk kecurian kelayakan atau terlibat dalam aktiviti penipuan atau jenayah siber yang lain.
Kira-kira 60 ahli gabungan dipercayai terlibat dalam rangkaian dalam pelbagai kapasiti. Sesetengah rakan kongsi menyumbang tapak web yang terjejas, menghalakan sasaran ke infrastruktur TDS VexTrio, yang kemudiannya mengarahkan penyemak imbas mangsa ke halaman berbahaya. TDS biasanya mengubah hala individu hanya jika mereka memenuhi kriteria tertentu.
VexTrio mengenakan bayaran daripada individu yang mengendalikan tapak penipuan untuk menyalurkan trafik Web mengikut cara mereka, dengan individu yang menyediakan tapak web yang terjejas juga menerima bahagian. Selain itu, TDS boleh membimbing pengguna untuk menipu tapak web yang dikendalikan oleh krew VexTrio sendiri, membolehkan penjenayah mendapat keuntungan secara langsung daripada aktiviti penipuan mereka. VexTrio menimbulkan risiko keselamatan yang ketara kerana jangkauannya yang luas dan persediaan yang canggih.
VexTrio Sedang Digunakan untuk Menyampaikan Ancaman Peribadi Berbahaya kepada Mangsa
Satu strain malware yang diedarkan melalui VexTrio ialah SocGholish , juga dikenali sebagai FakeUpdates, dan ia telah muncul sebagai salah satu strain malware yang paling lazim sejak awal tahun 2024.
SocGholish, berkod dalam JavaScript, biasanya diaktifkan apabila pengguna melawat tapak web yang terjejas. Ia secara khusus menyasarkan mesin Windows, menampilkan dirinya sebagai kemas kini penyemak imbas. Jika ia dibenarkan untuk dipasang dan kemudian dilaksanakan oleh pengguna yang tidak mengesyaki, SocGholish menjangkiti PC mereka dengan perisian hasad pintu belakang, perisian tebusan dan komponen berniat jahat yang lain. Terutama, SocGholish telah diperhatikan menghantar GootLoader , Dridex , NetSupport , DoppelPaymer dan AZORult ke mesin mangsa. Malware ini dikaitkan dengan kumpulan bermotivasi kewangan yang dikenal pasti sebagai TA569 dan UNC1543.
Selain itu, terdapat bukti yang menunjukkan bahawa VexTrio digunakan untuk mengedarkan perisian hasad ClearFake yang mencuri maklumat.
Kumpulan Ransomware Menuai Rekod Bayaran Tebusan daripada Mangsa
Pada tahun 2023, kumpulan penjenayah siber yang pakar dalam ancaman perisian tebusan mengalami kebangkitan yang ketara, melebihi $1 bilion dalam pembayaran dan menandakan peningkatan yang ketara dalam skala dan kerumitan serangan mereka. Ini menandakan perubahan ketara daripada penurunan yang diperhatikan pada tahun 2022. Penyelidik menyerlahkan bahawa aliran keseluruhan dari 2019 hingga 2023 menunjukkan masalah yang berterusan dan semakin meningkat walaupun terdapat penurunan sementara dalam pembayaran perisian tebusan semasa 2022. Adalah penting untuk ambil perhatian bahawa angka yang dilaporkan tidak merangkumi kesan ekonomi sepenuhnya, termasuk kehilangan produktiviti dan perbelanjaan pembaikan yang ditanggung oleh mangsa.
Sesungguhnya, 2023 menyaksikan lonjakan ketara dalam kekerapan, skala dan jumlah serangan perisian tebusan yang didalangi oleh pelbagai pelakon, termasuk sindiket besar, kumpulan yang lebih kecil dan individu. Kemunculan Broker Akses Awal (IAB) memainkan peranan penting dalam memudahkan serangan ini dengan menyediakan akses kepada rangkaian, yang kemudiannya dijual kepada penyerang perisian tebusan pada kos yang agak rendah.
Dari segi destinasi untuk dana yang diperoleh sebagai pembayaran tebusan, pertukaran berpusat dan pengadun secara konsisten telah digemari untuk skim pencucian. Walau bagaimanapun, pada tahun 2023, perkhidmatan baharu, seperti jambatan, penukar segera dan perkhidmatan perjudian, muncul dan cepat mendapat tarikan.
