AceCryptor-Malware-Nutzung nimmt in Europa zu

Tausende neue Infektionen im Zusammenhang mit dem AceCryptor-Tool – das es Hackern ermöglicht, Malware zu verbergen und Systeme zu infiltrieren, ohne von Antivirensoftware erkannt zu werden – wurden im Rahmen einer konzertierten Aktion gegen Unternehmen in ganz Europa aufgedeckt.

Forscher haben Jahre damit verbracht, AceCryptor zu überwachen. Sie gaben am Mittwoch bekannt, dass sich die jüngste Kampagne von früheren unterschied, da die Angreifer das Spektrum des darin enthaltenen Schadcodes erweiterten.

Traditionell begleitet AceCryptor Malware wie Remcos oder Rescoms – wirksame Fernüberwachungstools, die häufig gegen Organisationen in der Ukraine eingesetzt werden. Neben Remcos und einem anderen bekannten Tool, SmokeLoader, stellten die Forscher Fälle fest, in denen AceCryptor Malware wie die STOP-Ransomware und den Vidar-Stealer verbreitete.

Die Forscher beobachteten deutliche Unterschiede in den Zielländern. Während SmokeLoader bei Angriffen in der Ukraine eine Rolle spielte, war Remcos an Vorfällen in Polen, der Slowakei, Bulgarien und Serbien beteiligt.

Bei diesen Operationen wurde AceCryptor eingesetzt, um mehrere europäische Länder anzugreifen, Informationen zu extrahieren oder ersten Zugang zu zahlreichen Unternehmen zu erhalten. Schädliche Software wurde über teilweise sehr überzeugende Spam-E-Mails verbreitet, die gelegentlich von legitimen, aber ausgenutzten E-Mail-Konten stammten.

AceCryptor-Angriffe zielen auf Browseranmeldeinformationen ab

Die jüngste Operation zielt darauf ab, E-Mail- und Browser-Anmeldeinformationen für spätere Angriffe auf die angegriffenen Unternehmen zu erlangen. Die meisten Malware-Beispiele dienten als erster Kompromittierungsvektor.

Im ersten Halbjahr 2023 waren Peru, Mexiko, Ägypten und die Türkei die am stärksten von AceCryptor-Malware betroffenen Länder, wobei Peru mit 4.700 die höchste Anzahl an Angriffen erlitt.

In der zweiten Hälfte des Jahres 2023 verlagerte sich der Fokus auf europäische Länder, wobei Polen Ziel von über 26.000 Angriffen war. Auch die Ukraine, Spanien und Serbien erlebten Tausende von Angriffen.

In der zweiten Jahreshälfte entwickelte sich Rescoms mit über 32.000 Instanzen zur vorherrschenden Malware-Familie von AceCryptor. Polen verzeichnete über die Hälfte dieser Versuche, gefolgt von Serbien, Spanien, Bulgarien und der Slowakei, berichteten die Forscher.

Insgesamt wurden in diesem Zeitraum über 26.000 dieser Angriffe in Polen registriert.

Angriffe auf polnische Unternehmen enthielten ähnliche Betreffzeilen im Zusammenhang mit B2B-Angeboten für ein Opferunternehmen. Hacker versuchten, den E-Mails Legitimität zu verleihen, indem sie echte polnische Firmennamen und bestehende Mitarbeiternamen verwendeten.

Die Forscher stellten Unsicherheit darüber fest, ob die Hacker die gestohlenen Zugangsdaten für ihre Zwecke behalten oder an andere Bedrohungsakteure verkaufen wollen.

Während die Forscher die Quelle der Angriffskampagnen nicht genau bestimmen konnten, wurden Remcos und SmokeLoader immer wieder mit Hackern in Verbindung gebracht, die im Auftrag der russischen Regierung agierten.