AceCryptor skadlig programvara

Många nya fall av infektion kopplade till AceCryptor-verktyget har dykt upp, vilket indikerar en oroande trend. Detta verktyg, som gynnas av hackare för sin förmåga att kamouflera skadlig programvara och infiltrera system oupptäckta av konventionella anti-malware-försvar, har använts i en kampanj riktad till organisationer i hela Europa. Forskare som har övervakat AceCryptors aktiviteter i flera år observerar en distinkt förändring i denna senaste kampanj. Till skillnad från tidigare instanser har angripare breddat utbudet av manipulerad kod som ingår i deras bedrifter, vilket utgör ökade hot mot riktade enheter.

AceCryptor används för leverans av skadliga hot i sent skede

AceCryptor är vanligtvis ihopkopplad med skadlig programvara som Remcos eller Rescoms , som fungerar som potenta fjärrövervakningsverktyg som ofta används i attacker mot organisationer i Ukraina. Vid sidan av Remcos och den välkända SmokeLoader har forskare nu observerat AceCryptor sprida andra skadliga stammar, inklusive varianter av STOP/Djvu Ransomware och Vidar Stealer .

Dessutom har forskare noterat distinkta mönster i målländerna. Medan SmokeLoader var inblandad i attacker i Ukraina, innebar incidenter i Polen, Slovakien, Bulgarien och Serbien användningen av Remcos.

I noggrant orkestrerade kampanjer har AceCryptor utnyttjats för att rikta in sig på flera europeiska länder, i syfte att extrahera känslig information eller etablera första tillgång till olika företag. Spridningen av skadlig programvara i dessa attacker skedde ofta genom spam-e-postmeddelanden, av vilka några var anmärkningsvärt övertygande; ibland kapades legitima e-postkonton och missbrukades för att skicka dessa vilseledande meddelanden.

Det primära syftet med den senaste operationen är att skaffa e-post- och webbläsaruppgifter avsedda för ytterligare övergrepp mot de riktade företagen. Noterbart är att majoriteten av inspelade AceCryptor-incidenter har fungerat som den första kompromisspunkten i dessa attacker.

AceCryptors mål har ändrats under hela 2023

Under de sex månaderna 2023 var de länder som främst påverkades av AceCryptor-packad skadlig programvara Peru, Mexiko, Egypten och Turkiet, med Peru som drabbades av 4 700 attacker. Men i en anmärkningsvärd förändring under senare hälften av året, riktade hackare om sitt fokus mot europeiska nationer, särskilt Polen, som utstod över 26 000 attacker. Ukraina, Spanien och Serbien utsattes också för tusentals attacker.

Under det senare halvåret uppstod Rescoms som den dominerande skadliga programvaran som distribuerades via AceCryptor, med över 32 000 incidenter. Polen stod för mer än hälften av dessa händelser, följt av Serbien, Spanien, Bulgarien och Slovakien.

Attacker riktade mot polska företag delade liknande ämnesrader, ofta maskerade som B2B-erbjudanden relevanta för de utsatta företagen. Hackarna använde äkta polska företagsnamn och befintliga anställdas identiteter i sina e-postmeddelanden för att ge trovärdighet. Motiven bakom dessa attacker är fortfarande tvetydiga; det är osäkert om hackarna försöker utnyttja stulna referenser för personligt bruk eller överlåta dem till andra hotaktörer.

För närvarande misslyckas de tillgängliga bevisen att tillskriva attackkampanjerna till en specifik källa definitivt. Det är dock värt att notera att hackare anslutna till den ryska regeringen återkommande har använt Remcos och SmokeLoader i sina verksamheter.