VexTrio

Výskumníci spoločnosti Infosec odhalili viac ako 70 000 webových stránok považovaných za legitímne, ktoré boli unesené a začlenené do siete využívanej zločincami na šírenie škodlivého softvéru, hosťovanie phishingových stránok a zdieľanie iného nezákonného obsahu. Táto sieť, označovaná ako VexTrio, funguje primárne nezistene od svojho založenia v roku 2017 alebo možno skôr. Nedávne odhalenia však priniesli na svetlo viac informácií o povahe tejto operácie.

VexTrio je značná operácia, ktorá by mohla viesť k vážnym bezpečnostným problémom

Proces, ktorý využívajú počítačoví zločinci, nie je taký zložitý, pripomína systémy distribúcie návštevnosti (TDS), ktoré sa bežne používajú v marketingovej sfére na navádzanie používateľov internetu na konkrétne stránky na základe ich záujmov alebo podobných kritérií.

V kontexte VexTrio sú napadnuté desiatky tisíc webových stránok, ktoré presmerujú svojich návštevníkov na stránky, ktoré uľahčujú sťahovanie škodlivého softvéru, zobrazujú falošné prihlasovacie rozhrania na krádež poverení alebo sa zapájajú do iných podvodných alebo kyberzločineckých aktivít.

Predpokladá sa, že do siete je zapojených približne 60 pobočiek v rôznych kapacitách. Niektorí partneri prispievajú k napadnutým webovým stránkam a smerujú ciele do infraštruktúry TDS spoločnosti VexTrio, ktorá potom nasmeruje prehliadače obetí na škodlivé stránky. TDS zvyčajne presmeruje jednotlivcov iba vtedy, ak spĺňajú špecifické kritériá.

VexTrio účtuje poplatok od jednotlivcov prevádzkujúcich podvodné stránky za usmerňovanie webového prenosu ich spôsobom, pričom jednotlivci, ktorí poskytli napadnuté webové stránky, tiež dostanú podiel. Okrem toho môže TDS viesť používateľov k podvodným webovým stránkam prevádzkovaným samotnou posádkou VexTrio, čo umožňuje zločincom profitovať priamo z ich podvodných aktivít. VexTrio predstavuje značné bezpečnostné riziko vďaka svojmu rozsiahlemu dosahu a sofistikovanému nastaveniu.

VexTrio sa používa na poskytovanie škodlivých hrozieb malvéru obetiam

Jeden kmeň malvéru distribuovaný prostredníctvom VexTrio je SocGholish , tiež známy ako FakeUpdates, a od začiatku roku 2024 sa ukázal ako jeden z najrozšírenejších kmeňov malvéru.

SocGholish, kódovaný v JavaScripte, sa zvyčajne aktivuje, keď používateľ navštívi napadnutú webovú stránku. Konkrétne sa zameriava na počítače so systémom Windows a prezentuje sa ako aktualizácia prehliadača. Ak nič netušiaci používateľ povolí inštaláciu a následné spustenie, SocGholish infikuje ich počítač backdoor malvérom, ransomware a inými škodlivými komponentmi. Predovšetkým bolo pozorované, že SocGholish dodáva GootLoader , Dridex , NetSupport , DoppelPaymer a AZORult na stroje obetí. Malvér sa pripisuje finančne motivovanej skupine označenej ako TA569 a UNC1543.

Okrem toho existujú dôkazy, ktoré naznačujú, že VexTrio sa používa na distribúciu škodlivého softvéru ClearFake, ktorý kradne informácie.

Ransomvérové skupiny zožali rekordné výkupné od obetí

V roku 2023 zaznamenali kyberzločinecké skupiny špecializujúce sa na hrozby ransomvéru pozoruhodné oživenie, pričom platby prekročili 1 miliardu USD a signalizovali výrazný nárast rozsahu a zložitosti ich útokov. To znamenalo významný odklon od pozorovaného poklesu v roku 2022. Výskumníci zdôrazňujú, že celkový trend od roku 2019 do roku 2023 naznačuje pretrvávajúci a rastúci problém napriek dočasnému poklesu platieb za ransomvér počas roku 2022. Je dôležité poznamenať, že uvádzané číslo nezahŕňa úplný ekonomický dopad vrátane straty produktivity a nákladov na opravy, ktoré vznikli obetiam.

V roku 2023 skutočne došlo k výraznému nárastu frekvencie, rozsahu a objemu ransomvérových útokov organizovaných rôznymi aktérmi vrátane veľkých syndikátov, menších skupín a jednotlivcov. Vznik Initial Access Brokers (IAB) zohral kľúčovú úlohu pri uľahčovaní týchto útokov poskytovaním prístupu k sieťam, ktoré následne predávali ransomvérovým útočníkom za relatívne nízku cenu.

Pokiaľ ide o miesto určenia finančných prostriedkov získaných ako výkupné, centralizované burzy a zmiešavače boli sústavne uprednostňované pre programy na pranie špinavých peňazí. V roku 2023 sa však objavili nové služby, ako sú mosty, okamžité výmenníky a služby hazardných hier, ktoré sa rýchlo presadili.