VexTrio

Natuklasan ng mga mananaliksik ng Infosec ang mahigit 70,000 website na pinaniniwalaang lehitimo na na-hijack at isinama sa isang network na ginagamit ng mga kriminal para sa pagpapakalat ng malware, pagho-host ng mga pahina ng phishing, at pagbabahagi ng iba pang ipinagbabawal na nilalaman. Ang network na ito, na tinutukoy bilang VexTrio, ay pangunahing gumana nang hindi natukoy mula nang itatag ito noong 2017 o posibleng mas maaga. Gayunpaman, ang mga kamakailang paghahayag ay naghatid ng higit pang impormasyon tungkol sa uri ng operasyong ito.

Ang VexTrio ay Isang Malaking Operasyon na Maaaring Magdulot ng Matitinding Isyu sa Seguridad

Ang prosesong ginagamit ng mga cybercriminal ay hindi ganoon kakomplikado, na kahawig ng mga traffic distribution system (TDSes) na karaniwang ginagamit sa larangan ng marketing upang gabayan ang mga user ng internet sa mga partikular na site batay sa kanilang mga interes o katulad na pamantayan.

Sa konteksto ng VexTrio, sampu-sampung libong mga website ang nakompromiso, nire-redirect ang kanilang mga bisita sa mga page na nagpapadali sa pag-download ng malware, nagpapakita ng mga pekeng interface sa pag-log in para sa pagnanakaw ng kredensyal, o nakikisali sa iba pang mapanlinlang o cyber-criminal na aktibidad.

Humigit-kumulang 60 kaakibat ang pinaniniwalaang kasangkot sa network sa iba't ibang kapasidad. Ang ilang mga kasosyo ay nag-aambag ng mga nakompromisong website, na nagdidirekta ng mga target sa imprastraktura ng TDS ng VexTrio, na nagtutulak sa mga browser ng mga biktima patungo sa mga mapaminsalang pahina. Ang TDS ay karaniwang nagre-redirect ng mga indibidwal lamang kung natutugunan nila ang mga partikular na pamantayan.

Ang VexTrio ay naniningil ng bayad mula sa mga indibidwal na nagpapatakbo ng mga mapanlinlang na site para sa pag-channel ng trapiko sa Web sa kanilang paraan, kasama ang mga indibidwal na nagbigay sa mga nakompromisong website ay tumatanggap din ng bahagi. Bukod pa rito, maaaring gabayan ng TDS ang mga user sa mga website ng scam na pinapatakbo ng mismong crew ng VexTrio, na nagpapahintulot sa mga kriminal na kumita nang direkta mula sa kanilang mga mapanlinlang na aktibidad. Ang VexTrio ay nagdudulot ng malaking panganib sa seguridad dahil sa malawak nitong abot at sopistikadong setup.

Ginagamit ang VexTrio para Maghatid ng Mapanganib na Mga Banta sa Malware sa mga Biktima

Ang isang malware strain na ipinamahagi sa pamamagitan ng VexTrio ay ang SocGholish , na kilala rin bilang FakeUpdates, at ito ay lumabas bilang isa sa mga pinakalaganap na strain ng malware mula noong simula ng 2024.

Ang SocGholish, na naka-code sa JavaScript, ay karaniwang nag-a-activate kapag bumisita ang isang user sa isang nakompromisong website. Ito ay partikular na nagta-target sa mga Windows machine, na nagpapakita ng sarili bilang isang pag-update ng browser. Kung ito ay pinahihintulutang ma-install at pagkatapos ay isakatuparan ng hindi pinaghihinalaang gumagamit, ang SocGholish ay nahawahan ang kanilang PC ng backdoor malware, ransomware at iba pang malisyosong bahagi. Kapansin-pansin, ang SocGholish ay naobserbahang naghahatid ng GootLoader , Dridex , NetSupport , DoppelPaymer at AZORult sa mga makina ng mga biktima. Ang malware ay nauugnay sa isang financially motivated na grupo na kinilala bilang TA569 at UNC1543.

Bukod pa rito, may ebidensyang nagmumungkahi na ang VexTrio ay ginagamit upang ipamahagi ang pagnanakaw ng impormasyon na ClearFake malware.

Ang Mga Grupo ng Ransomware ay umani ng Record Ransom Payments mula sa mga Biktima

Noong 2023, ang mga cybercriminal group na nag-specialize sa mga banta ng ransomware ay nakaranas ng isang kapansin-pansing muling pagkabuhay, na lumampas sa $1 bilyon sa mga pagbabayad at nagpapahiwatig ng malaking pagtaas sa laki at pagiging kumplikado ng kanilang mga pag-atake. Nagmarka ito ng makabuluhang pag-alis mula sa naobserbahang pagbaba noong 2022. Itinatampok ng mga mananaliksik na ang pangkalahatang trend mula 2019 hanggang 2023 ay nagpapahiwatig ng patuloy at lumalaking problema sa kabila ng pansamantalang pagbaba sa mga pagbabayad sa ransomware noong 2022. Mahalagang tandaan na ang naiulat na bilang ay hindi sumasaklaw sa buong epekto sa ekonomiya, kabilang ang pagkawala ng produktibidad at mga gastos sa pagkumpuni na natamo ng mga biktima.

Sa katunayan, noong 2023 ay nagkaroon ng malaking pagtaas sa dalas, sukat, at dami ng pag-atake ng ransomware na isinaayos ng magkakaibang hanay ng mga aktor, kabilang ang malalaking sindikato, mas maliliit na grupo, at indibidwal. Ang paglitaw ng Initial Access Brokers (IABs) ay gumanap ng mahalagang papel sa pagpapadali sa mga pag-atake na ito sa pamamagitan ng pagbibigay ng access sa mga network, na pagkatapos ay ibinenta nila sa mga umaatake ng ransomware sa medyo mababang halaga.

Sa mga tuntunin ng patutunguhan para sa mga pondong nakuha bilang mga pagbabayad ng ransom, ang mga sentralisadong palitan at mga mixer ay patuloy na pinapaboran para sa mga scheme ng laundering. Gayunpaman, noong 2023, lumitaw ang mga bagong serbisyo, tulad ng mga tulay, instant exchanger, at serbisyo sa pagsusugal, at mabilis na nakakuha ng traksyon.