Αύξηση της χρήσης κακόβουλου λογισμικού AceCryptor στην Ευρώπη
Χιλιάδες νέες μολύνσεις που συνδέονται με το εργαλείο AceCryptor – το οποίο επιτρέπει στους χάκερ να αποκρύπτουν κακόβουλο λογισμικό και να διεισδύουν σε συστήματα που δεν εντοπίζονται από λογισμικό προστασίας από ιούς – αποκαλύφθηκαν σε μια συντονισμένη προσπάθεια που στοχεύει οργανισμούς σε όλη την Ευρώπη.
Οι ερευνητές έχουν αφιερώσει χρόνια στην παρακολούθηση του AceCryptor. Αποκάλυψαν την Τετάρτη ότι η πρόσφατη καμπάνια διέφερε από τις προηγούμενες, καθώς οι εισβολείς διεύρυναν τη σειρά κακόβουλου κώδικα που περιείχε.
Παραδοσιακά, το AceCryptor συνοδεύει κακόβουλο λογισμικό όπως το Remcos ή το Rescoms — ισχυρά εργαλεία απομακρυσμένης επιτήρησης που χρησιμοποιούνται συχνά εναντίον οργανισμών στην Ουκρανία. Μαζί με το Remcos και ένα άλλο γνωστό εργαλείο, το SmokeLoader, οι ερευνητές σημείωσαν περιπτώσεις όπου το AceCryptor διένειμε κακόβουλο λογισμικό όπως το STOP ransomware και το Vidar stealer.
Οι ερευνητές παρατήρησαν διακριτές παραλλαγές στις στοχευόμενες χώρες. Ενώ το SmokeLoader εμφανίστηκε σε επιθέσεις στην Ουκρανία, επεισόδια στην Πολωνία, τη Σλοβακία, τη Βουλγαρία και τη Σερβία αφορούσαν τη Remcos.
Σε αυτές τις λειτουργίες, το AceCryptor χρησιμοποιήθηκε για να στοχεύσει πολλές ευρωπαϊκές χώρες, εξάγοντας πληροφορίες ή αποκτώντας αρχική πρόσβαση σε πολλές εταιρείες. Το κακόβουλο λογισμικό διαδόθηκε μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου, μερικά από τα οποία ήταν πολύ πειστικά, προερχόμενα περιστασιακά από νόμιμους αλλά και εκμεταλλευόμενους λογαριασμούς email.
Οι επιθέσεις AceCryptor πηγαίνουν μετά τα διαπιστευτήρια του προγράμματος περιήγησης
Η πρόσφατη επιχείρηση στοχεύει στην απόκτηση διαπιστευτηρίων ηλεκτρονικού ταχυδρομείου και προγράμματος περιήγησης για επακόλουθες επιθέσεις κατά των στοχευόμενων οντοτήτων. Η πλειοψηφία των δειγμάτων κακόβουλου λογισμικού χρησίμευσε ως αρχικός φορέας συμβιβασμού.
Το πρώτο εξάμηνο του 2023, οι χώρες που επλήγησαν περισσότερο από κακόβουλο λογισμικό γεμάτο AceCryptor ήταν το Περού, το Μεξικό, η Αίγυπτος και η Τουρκία, με το Περού να υφίσταται τον υψηλότερο αριθμό επιθέσεων με 4.700.
Στο δεύτερο εξάμηνο του 2023, η εστίαση μετατοπίστηκε στα ευρωπαϊκά έθνη, με την Πολωνία να στοχεύει περισσότερες από 26.000 επιθέσεις. Η Ουκρανία, η Ισπανία και η Σερβία γνώρισαν επίσης χιλιάδες επιθέσεις.
Κατά το δεύτερο εξάμηνο του έτους, το Rescoms εμφανίστηκε ως η κυρίαρχη οικογένεια κακόβουλου λογισμικού που συσκευάστηκε από την AceCryptor, με περισσότερες από 32.000 περιπτώσεις. Η Πολωνία κατέγραψε περισσότερες από τις μισές από αυτές τις προσπάθειες, ακολουθούμενη από τη Σερβία, την Ισπανία, τη Βουλγαρία και τη Σλοβακία, ανέφεραν οι ερευνητές.
Συνολικά, πάνω από 26.000 από αυτές τις επιθέσεις στην Πολωνία καταγράφηκαν κατά τη διάρκεια αυτής της περιόδου.
Οι επιθέσεις σε πολωνικές επιχειρήσεις παρουσίαζαν παρόμοιες θεματικές γραμμές σχετικά με προσφορές B2B για μια εταιρεία-θύμα. Οι χάκερ προσπάθησαν να προσδώσουν νομιμότητα στα email χρησιμοποιώντας γνήσια πολωνικά ονόματα εταιρειών και υπάρχοντα ονόματα εργαζομένων.
Οι ερευνητές σημείωσαν αβεβαιότητα σχετικά με το εάν οι χάκερ σκοπεύουν να διατηρήσουν κλεμμένα διαπιστευτήρια για τη χρήση τους ή να τα πουλήσουν σε άλλους παράγοντες απειλών.
Ενώ οι ερευνητές δεν μπόρεσαν να εντοπίσουν την πηγή των εκστρατειών επίθεσης, οι Remcos και SmokeLoader έχουν συσχετιστεί επανειλημμένα με χάκερ που λειτουργούν για λογαριασμό της ρωσικής κυβέρνησης.
