VexTrio
Onderzoekers van Infosec hebben meer dan 70.000 als legitieme websites ontdekt die zijn gekaapt en opgenomen in een netwerk dat door criminelen wordt gebruikt voor het verspreiden van malware, het hosten van phishing-pagina's en het delen van andere illegale inhoud. Dit netwerk, VexTrio genaamd, heeft sinds de oprichting in 2017 of mogelijk eerder grotendeels onopgemerkt gefunctioneerd. Recente onthullingen hebben echter meer informatie aan het licht gebracht over de aard van deze operatie.
Inhoudsopgave
VexTrio is een aanzienlijke operatie die tot ernstige veiligheidsproblemen kan leiden
Het proces dat door de cybercriminelen wordt gebruikt, is niet zo complex en lijkt op de verkeersdistributiesystemen (TDS's) die gewoonlijk in de marketingwereld worden gebruikt om internetgebruikers naar specifieke sites te leiden op basis van hun interesses of soortgelijke criteria.
In de context van VexTrio worden tienduizenden websites gecompromitteerd, waardoor hun bezoekers worden omgeleid naar pagina's die het downloaden van malware vergemakkelijken, valse inloginterfaces weergeven voor diefstal van inloggegevens, of zich bezighouden met andere frauduleuze of cybercriminele activiteiten.
Er wordt aangenomen dat ongeveer 60 aangesloten bedrijven in verschillende hoedanigheden bij het netwerk betrokken zijn. Sommige partners dragen gecompromitteerde websites bij en sturen doelen naar de TDS-infrastructuur van VexTrio, die vervolgens de browsers van slachtoffers naar schadelijke pagina's stuurt. De TDS stuurt individuen doorgaans alleen door als ze aan specifieke criteria voldoen.
VexTrio brengt een vergoeding in rekening van de individuen die frauduleuze sites exploiteren voor het kanaliseren van webverkeer naar hun kant, waarbij de individuen die de gecompromitteerde websites hebben geleverd ook een deel ontvangen. Bovendien kan de TDS gebruikers naar oplichtingswebsites leiden die door de bemanning van VexTrio zelf worden beheerd, waardoor de criminelen rechtstreeks kunnen profiteren van hun frauduleuze activiteiten. VexTrio vormt een aanzienlijk veiligheidsrisico vanwege het grote bereik en de geavanceerde opzet.
VexTrio wordt gebruikt om schadelijke malware-bedreigingen aan slachtoffers over te brengen
Een malwaresoort die via VexTrio wordt verspreid is SocGholish , ook bekend als FakeUpdates, en is sinds begin 2024 een van de meest voorkomende malwaresoorten geworden.
SocGholish, gecodeerd in JavaScript, wordt doorgaans geactiveerd wanneer een gebruiker een gecompromitteerde website bezoekt. Het richt zich specifiek op Windows-machines en presenteert zichzelf als een browserupdate. Als het door de nietsvermoedende gebruiker mag worden geïnstalleerd en vervolgens wordt uitgevoerd, infecteert SocGholish zijn pc met backdoor-malware, ransomware en andere kwaadaardige componenten. Er is met name waargenomen dat SocGholish GootLoader , Dridex , NetSupport , DoppelPaymer en AZORult op de machines van slachtoffers afleverde. De malware wordt toegeschreven aan een financieel gemotiveerde groep, geïdentificeerd als TA569 en UNC1543.
Bovendien zijn er aanwijzingen dat VexTrio wordt gebruikt om de informatiestelende ClearFake-malware te verspreiden.
Ransomwaregroepen hebben recordbedragen aan losgeld ontvangen van slachtoffers
In 2023 kenden cybercriminele groepen die gespecialiseerd zijn in ransomware-bedreigingen een opmerkelijke heropleving, waarbij ze de grens van $1 miljard aan betalingen overschreden, wat een substantiële stijging in de omvang en complexiteit van hun aanvallen signaleerde. Dit wijkt aanzienlijk af van de waargenomen daling in 2022. Onderzoekers benadrukken dat de algemene trend van 2019 naar 2023 wijst op een aanhoudend en groeiend probleem, ondanks een tijdelijke daling van de betalingen voor ransomware in 2022. Het is essentieel op te merken dat het gerapporteerde cijfer niet de volledige economische impact, inclusief productiviteitsverlies en reparatiekosten voor de slachtoffers.
In 2023 was er sprake van een aanzienlijke stijging in de frequentie, schaal en omvang van ransomware-aanvallen, georkestreerd door een breed scala aan actoren, waaronder grote syndicaten, kleinere groepen en individuen. De opkomst van Initial Access Brokers (IAB's) speelde een sleutelrol bij het faciliteren van deze aanvallen door toegang te bieden tot netwerken, die ze vervolgens tegen relatief lage kosten verkochten aan ransomware-aanvallers.
Wat betreft de bestemming van de gelden die als losgeld zijn verkregen, hebben gecentraliseerde uitwisselingen en mixers consequent de voorkeur gekregen voor witwaspraktijken. In 2023 ontstonden echter nieuwe diensten, zoals bruggen, instantwisselaars en gokdiensten, die snel terrein wonnen.
