VexTrio
Studiuesit e Infosec kanë zbuluar mbi 70,000 faqe interneti që besohet se janë legjitime, të cilat janë rrëmbyer dhe inkorporuar në një rrjet të përdorur nga kriminelët për shpërndarjen e malware, pritjen e faqeve të phishing dhe ndarjen e përmbajtjeve të tjera të paligjshme. Ky rrjet, i referuar si VexTrio, ka funksionuar kryesisht i pazbuluar që nga themelimi i tij në 2017 ose ndoshta më herët. Megjithatë, zbulimet e fundit kanë nxjerrë më shumë informacione në dritë për natyrën e këtij operacioni.
Tabela e Përmbajtjes
VexTrio është një operacion i konsiderueshëm që mund të çojë në çështje të rënda sigurie
Procesi i përdorur nga kriminelët kibernetikë nuk është aq kompleks, i ngjan sistemeve të shpërndarjes së trafikut (TDS) që përdoren zakonisht në fushën e marketingut për të udhëhequr përdoruesit e internetit në sajte specifike bazuar në interesat e tyre ose kritere të ngjashme.
Në kontekstin e VexTrio, dhjetëra mijëra faqe interneti janë komprometuar, duke i ridrejtuar vizitorët e tyre në faqe që lehtësojnë shkarkimet e malware, shfaqin ndërfaqe të falsifikuara të hyrjes për vjedhje kredenciale ose përfshihen në aktivitete të tjera mashtruese ose kriminale kibernetike.
Përafërsisht 60 filialë besohet të jenë të përfshirë në rrjet në kapacitete të ndryshme. Disa partnerë kontribuojnë në faqet e internetit të komprometuara, duke drejtuar objektivat në infrastrukturën TDS të VexTrio, e cila më pas i drejton shfletuesit e viktimave drejt faqeve të dëmshme. TDS zakonisht ridrejton individët vetëm nëse plotësojnë kritere specifike.
VexTrio ngarkon një tarifë nga individët që operojnë faqe mashtruese për kanalizimin e trafikut në ueb në mënyrën e tyre, me individët që ofruan faqet e internetit të komprometuara gjithashtu marrin një pjesë. Për më tepër, TDS mund t'i udhëzojë përdoruesit në faqet e internetit të mashtrimit të operuara nga vetë ekuipazhi i VexTrio, duke i lejuar kriminelët të përfitojnë drejtpërdrejt nga aktivitetet e tyre mashtruese. VexTrio paraqet një rrezik të konsiderueshëm sigurie për shkak të shtrirjes së tij të gjerë dhe konfigurimit të sofistikuar.
VexTrio po përdoret për të ofruar kërcënime të dëmshme malware për viktimat
Një lloj malware i shpërndarë përmes VexTrio është SocGholish , i njohur gjithashtu si FakeUpdates, dhe është shfaqur si një nga llojet më të përhapura të malware që nga fillimi i vitit 2024.
SocGholish, i koduar në JavaScript, zakonisht aktivizohet kur një përdorues viziton një faqe interneti të komprometuar. Ai synon në mënyrë specifike makinat Windows, duke u paraqitur si një përditësim i shfletuesit. Nëse lejohet të instalohet dhe më pas të ekzekutohet nga përdoruesi që nuk dyshon, SocGholish infekton kompjuterin e tyre me malware të pasme, ransomware dhe komponentë të tjerë me qëllim të keq. Veçanërisht, SocGholish është vërejtur duke shpërndarë GootLoader , Dridex , NetSupport , DoppelPaymer dhe AZORult në makinat e viktimave. Malware i atribuohet një grupi të motivuar financiarisht të identifikuar si TA569 dhe UNC1543.
Për më tepër, ka prova që sugjerojnë se VexTrio përdoret për të shpërndarë malware-in ClearFake që vjedh informacion.
Grupet e Ransomware korrën rekord pagesa shpërblesash nga viktimat
Në vitin 2023, grupet kriminale kibernetike të specializuara në kërcënimet e ransomware përjetuan një ringjallje të dukshme, duke tejkaluar 1 miliard dollarë në pagesa dhe duke sinjalizuar një rritje të konsiderueshme në shkallën dhe kompleksitetin e sulmeve të tyre. Kjo shënoi një largim të konsiderueshëm nga rënia e vëzhguar në vitin 2022. Studiuesit theksojnë se tendenca e përgjithshme nga 2019 në 2023 tregon një problem të vazhdueshëm dhe në rritje, pavarësisht nga një ulje e përkohshme e pagesave të ransomware gjatë vitit 2022. Është thelbësore të theksohet se shifra e raportuar nuk përfshin ndikim të plotë ekonomik, duke përfshirë humbjen e produktivitetit dhe shpenzimet e riparimit të shkaktuara nga viktimat.
Në të vërtetë, viti 2023 pa një rritje të konsiderueshme në frekuencën, shkallën dhe vëllimin e sulmeve ransomware të orkestruara nga një gamë e ndryshme aktorësh, duke përfshirë sindikata të mëdha, grupe më të vogla dhe individë. Shfaqja e Initial Access Brokers (IAB) luajti një rol kyç në lehtësimin e këtyre sulmeve duke ofruar akses në rrjete, të cilat ata më pas ua shitën sulmuesve ransomware me një kosto relativisht të ulët.
Për sa i përket destinacionit për fondet e marra si pagesa shpërblyese, shkëmbimet e centralizuara dhe miksera janë favorizuar vazhdimisht për skemat e pastrimit. Megjithatë, në vitin 2023, u shfaqën shërbime të reja, të tilla si urat, shkëmbyesit e menjëhershëm dhe shërbimet e lojërave të fatit, të cilat shpejt fituan tërheqje.
