VexTrio
Raziskovalci podjetja Infosec so odkrili več kot 70.000 spletnih mest, za katere menijo, da so zakonita in so bila ugrabljena in vključena v omrežje, ki ga kriminalci uporabljajo za razširjanje zlonamerne programske opreme, gostovanje strani z lažnim predstavljanjem in deljenje druge nedovoljene vsebine. To omrežje, imenovano VexTrio, je od ustanovitve leta 2017 ali morda že prej delovalo neopaženo. Vendar so nedavna razkritja razkrila več informacij o naravi te operacije.
Kazalo
VexTrio je precejšnja operacija, ki bi lahko povzročila resne varnostne težave
Postopek, ki ga uporabljajo kibernetski kriminalci, ni tako zapleten in spominja na sisteme za distribucijo prometa (TDS), ki se običajno uporabljajo na področju trženja za usmerjanje internetnih uporabnikov do določenih spletnih mest na podlagi njihovih interesov ali podobnih meril.
V kontekstu VexTrio je ogroženih več deset tisoč spletnih mest, ki svoje obiskovalce preusmerjajo na strani, ki omogočajo prenos zlonamerne programske opreme, prikazujejo ponarejene prijavne vmesnike za krajo poverilnic ali sodelujejo v drugih goljufivih ali kibernetskih kriminalnih dejavnostih.
Približno 60 podružnic naj bi bilo vpletenih v omrežje v različnih vlogah. Nekateri partnerji prispevajo ogrožena spletna mesta in usmerjajo tarče v infrastrukturo TDS podjetja VexTrio, ki nato usmerja brskalnike žrtev proti škodljivim stranem. TDS običajno preusmeri posameznike le, če izpolnjujejo določena merila.
VexTrio od posameznikov, ki upravljajo goljufiva spletna mesta, zaračuna provizijo za usmerjanje spletnega prometa po svoje, pri čemer delež prejmejo tudi posamezniki, ki so zagotovili ogrožena spletna mesta. Poleg tega lahko TDS vodi uporabnike do prevarantskih spletnih mest, ki jih upravlja posadka VexTrio sama, kar kriminalcem omogoča neposreden dobiček od njihovih goljufivih dejavnosti. VexTrio predstavlja veliko varnostno tveganje zaradi svojega obsežnega dosega in prefinjene nastavitve.
VexTrio se uporablja za posredovanje škodljivih groženj z zlonamerno programsko opremo žrtvam
Ena različica zlonamerne programske opreme, ki se distribuira prek VexTrio, je SocGholish , znana tudi kot FakeUpdates, in je od začetka leta 2024 postala ena najbolj razširjenih različic zlonamerne programske opreme.
SocGholish, kodiran v JavaScriptu, se običajno aktivira, ko uporabnik obišče ogroženo spletno mesto. Posebej cilja na stroje Windows in se predstavlja kot posodobitev brskalnika. Če nič hudega sluteči uporabnik dovoli, da ga namesti in nato zažene, SocGholish okuži njihov računalnik z zakulisno zlonamerno programsko opremo, izsiljevalsko programsko opremo in drugimi zlonamernimi komponentami. Predvsem so opazili, da SocGholish dostavlja GootLoader , Dridex , NetSupport , DoppelPaymer in AZORult na stroje žrtev. Zlonamerno programsko opremo pripisujejo finančno motivirani skupini, identificirani kot TA569 in UNC1543.
Poleg tega obstajajo dokazi, ki kažejo, da se VexTrio uporablja za distribucijo zlonamerne programske opreme ClearFake, ki krade informacije.
Skupine izsiljevalskih programov so požele rekordne odkupnine žrtev
Leta 2023 so skupine kibernetskega kriminala, specializirane za grožnje z izsiljevalsko programsko opremo, doživele opazen ponovni razcvet in presegle milijardo dolarjev plačil ter nakazale znatno povečanje obsega in kompleksnosti njihovih napadov. To je pomenilo pomemben odmik od opaženega upada v letu 2022. Raziskovalci poudarjajo, da splošni trend od leta 2019 do 2023 kaže na vztrajno in naraščajočo težavo kljub začasnemu zmanjšanju plačil izsiljevalske programske opreme v letu 2022. Bistveno je opozoriti, da navedena številka ne zajema celoten gospodarski učinek, vključno z izgubo produktivnosti in stroški popravil, ki jih imajo žrtve.
Dejansko je leta 2023 prišlo do znatnega povečanja pogostosti, obsega in obsega napadov z izsiljevalsko programsko opremo, ki jih je orkestriral raznolik nabor akterjev, vključno z velikimi sindikati, manjšimi skupinami in posamezniki. Pojav posrednikov za začetni dostop (IAB) je imel ključno vlogo pri pospeševanju teh napadov z zagotavljanjem dostopa do omrežij, ki so jih nato prodali napadalcem izsiljevalske programske opreme po relativno nizki ceni.
Kar zadeva destinacijo za sredstva, pridobljena kot plačila odkupnine, so centralizirane menjalnice in mešalniki dosledno imeli prednost pri shemah pranja. Vendar so se leta 2023 pojavile nove storitve, kot so mostovi, takojšnje izmenjevalnice in storitve iger na srečo, ki so se hitro uveljavile.
