Złośliwe oprogramowanie AceCryptor

Pojawiło się wiele nowych przypadków infekcji związanych z narzędziem AceCryptor, co wskazuje na niepokojącą tendencję. Narzędzie to, preferowane przez hakerów ze względu na jego zdolność do kamuflowania złośliwego oprogramowania i infiltrowania systemów niewykrytych przez konwencjonalne zabezpieczenia przed złośliwym oprogramowaniem, zostało wykorzystane w kampanii skierowanej do organizacji w całej Europie. Badacze, którzy od lat monitorują działania AceCryptor, zauważają wyraźną zmianę w tej ostatniej kampanii. W przeciwieństwie do poprzednich przypadków osoby atakujące rozszerzyły zakres zmanipulowanego kodu zawartego w ich exploitach, stwarzając zwiększone zagrożenie dla docelowych podmiotów.

AceCryptor służy do dostarczania szkodliwych zagrożeń na późnym etapie

AceCryptor jest często łączony ze złośliwym oprogramowaniem, takim jak Remcos lub Rescoms , które służy jako potężne narzędzie do zdalnego nadzoru, często wykorzystywane w atakach na organizacje na Ukrainie. Oprócz Remcos i dobrze znanego SmokeLoadera badacze zaobserwowali obecnie, że AceCryptor rozprzestrzenia inne odmiany złośliwego oprogramowania, w tym warianty STOP/Djvu Ransomware i Vidar Stealer .

Co więcej, badacze zaobserwowali wyraźne wzorce w krajach docelowych. Podczas gdy SmokeLoader był zaangażowany w ataki na Ukrainie, w incydentach w Polsce, na Słowacji, w Bułgarii i Serbii wykorzystano Remcos.

W skrupulatnie zorganizowanych kampaniach AceCryptor został wykorzystany do kierowania ataków do wielu krajów europejskich w celu wydobycia poufnych informacji lub uzyskania wstępnego dostępu do różnych firm. Rozprzestrzenianie się szkodliwego oprogramowania podczas tych ataków często odbywało się poprzez wiadomości e-mail będące spamem, a niektóre z nich były niezwykle przekonujące; czasami przejmowano legalne konta e-mail i wykorzystywano je do wysyłania wprowadzających w błąd wiadomości.

Głównym celem najnowszej operacji jest zdobycie danych uwierzytelniających do poczty e-mail i przeglądarki, przeznaczonych do dalszych ataków na docelowe firmy. Warto zauważyć, że większość zarejestrowanych incydentów AceCryptor posłużyła jako początkowy punkt kompromisu w tych atakach.

Cele AceCryptor zmieniły się w roku 2023

W ciągu sześciu miesięcy 2023 r. krajami, na które największy wpływ miało szkodliwe oprogramowanie zawierające AceCryptor, były Peru, Meksyk, Egipt i Turcja, przy czym w Peru odbyło się najwięcej 4700 ataków. Jednak w drugiej połowie roku hakerzy skupili się na krajach europejskich, w szczególności na Polsce, która doświadczyła ponad 26 000 ataków. Tysiące ataków padło także na Ukrainie, w Hiszpanii i Serbii.

W drugiej połowie roku dominującą rodziną szkodliwego oprogramowania dystrybuowanego za pośrednictwem AceCryptor okazał się Rescoms, z ponad 32 000 incydentów. Polska była odpowiedzialna za ponad połowę tych zdarzeń, a za nią plasowały się Serbia, Hiszpania, Bułgaria i Słowacja.

Ataki wymierzone w polskie firmy miały podobną tematykę i często udawały oferty B2B odpowiednie dla ofiar. Aby zwiększyć wiarygodność, hakerzy wykorzystali w swoich e-mailach oryginalne nazwy polskich firm i istniejące tożsamości pracowników. Motywy tych ataków pozostają niejednoznaczne; nie jest pewne, czy celem hakerów jest wykorzystanie skradzionych danych uwierzytelniających do użytku osobistego, czy też sprzedanie ich innym podmiotom zagrażającym.

Obecnie dostępne dowody nie przypisują ostatecznie kampanii ataków konkretnemu źródłu. Warto jednak zauważyć, że hakerzy powiązani z rosyjskim rządem regularnie wykorzystywali w swoich operacjach Remcos i SmokeLoader.