„AceCryptor“ kenkėjiškų programų naudojimo padidėjimas Europoje
Tūkstančiai naujų infekcijų, susijusių su „AceCryptor“ įrankiu, leidžiančiu įsilaužėliams nuslėpti kenkėjiškas programas ir įsiskverbti į sistemas, kurių neaptinka antivirusinė programinė įranga, buvo atskleista bendromis pastangomis, nukreiptomis į organizacijas visoje Europoje.
Tyrėjai daug metų skyrė „AceCryptor“ stebėjimui. Trečiadienį jie atskleidė, kad pastaroji kampanija skyrėsi nuo ankstesnių, nes užpuolikai išplėtė kenkėjiško kodo masyvą.
Tradiciškai „AceCryptor“ yra kartu su kenkėjiškomis programomis, tokiomis kaip „Remcos“ arba „Rescoms“ – galingi nuotolinio stebėjimo įrankiai, dažnai naudojami organizacijoms Ukrainoje. Kartu su „Remcos“ ir kitu žinomu įrankiu „SmokeLoader“ mokslininkai atkreipė dėmesį į atvejus, kai „AceCryptor“ platino kenkėjiškas programas, tokias kaip STOP išpirkos programa ir „Vidar“ vagystė.
Tyrėjai pastebėjo skirtingus skirtumus tikslinėse šalyse. Nors SmokeLoader dalyvavo atakose Ukrainoje, incidentai Lenkijoje, Slovakijoje, Bulgarijoje ir Serbijoje buvo susiję su Remcos.
Atliekant šias operacijas, AceCryptor buvo naudojamas nukreipti į kelias Europos šalis, išgauti informaciją arba gauti pradinę prieigą prie daugelio įmonių. Kenkėjiška programinė įranga buvo platinama per el. pašto šiukšles, kai kurios iš jų buvo labai įtikinamos, kartais kilusios iš teisėtų, tačiau išnaudotų el. pašto paskyrų.
„AceCryptor“ atakos vyksta po naršyklės kredencialų
Naujausia operacija siekiama gauti el. pašto ir naršyklės kredencialus vėlesniems išpuoliams prieš subjektus, kuriems taikytasi. Dauguma kenkėjiškų programų pavyzdžių buvo pradinis kompromiso vektorius.
Pirmąjį 2023 m. pusmetį šalys, kurias labiausiai paveikė „AceCryptor“ supakuotos kenkėjiškos programos, buvo Peru, Meksika, Egiptas ir Turkija, o Peru patyrė daugiausiai atakų – 4700.
2023 m. antroje pusėje dėmesys buvo nukreiptas į Europos tautas, o Lenkija buvo nukreipta į daugiau nei 26 000 išpuolių. Ukraina, Ispanija ir Serbija taip pat patyrė tūkstančius išpuolių.
Per antrąjį metų pusmetį „Rescoms“ tapo vyraujančia „AceCryptor“ supakuota kenkėjiškų programų šeima, kuri apima daugiau nei 32 000 atvejų. Tyrėjai pranešė, kad Lenkija užfiksavo daugiau nei pusę šių bandymų, po to sekė Serbija, Ispanija, Bulgarija ir Slovakija.
Iš viso per šį laikotarpį Lenkijoje užfiksuota per 26 000 šių išpuolių.
Išpuolių prieš Lenkijos įmones tema buvo panaši į B2B pasiūlymus nukentėjusiai įmonei. Įsilaužėliai stengėsi suteikti el. laiškų teisėtumą naudodami tikrus lenkiškus įmonių pavadinimus ir esamus darbuotojų vardus.
Tyrėjai pastebėjo netikrumą dėl to, ar įsilaužėliai siekia pasilikti pavogtus kredencialus, kad galėtų juos naudoti, ar parduoti juos kitiems grėsmės veikėjams.
Nors mokslininkai negalėjo tiksliai nustatyti atakų kampanijų šaltinio, „Remcos“ ir „SmokeLoader“ nuolat buvo siejami su įsilaužėliais, veikiančiais Rusijos vyriausybės vardu.
