Wzrost wykorzystania złośliwego oprogramowania AceCryptor w Europie

W ramach wspólnych wysiłków wymierzonych w organizacje w całej Europie wykryto tysiące nowych infekcji związanych z narzędziem AceCryptor, które umożliwia hakerom ukrywanie złośliwego oprogramowania i infiltrowanie systemów niewykrytych przez oprogramowanie antywirusowe.

Naukowcy poświęcili lata na monitorowanie AceCryptor. W środę ujawniono, że ostatnia kampania różniła się od poprzednich, ponieważ napastnicy rozszerzyli zakres zawartego w niej szkodliwego kodu.

Tradycyjnie AceCryptor towarzyszy złośliwemu oprogramowaniu, takiemu jak Remcos lub Rescoms — potężnym narzędziom do zdalnego nadzoru często stosowanym przeciwko organizacjom na Ukrainie. Oprócz Remcos i innego znanego narzędzia, SmokeLoader, badacze odnotowali przypadki, w których AceCryptor rozpowszechniał złośliwe oprogramowanie, takie jak ransomware STOP i złodziej Vidar.

Badacze zaobserwowali wyraźne różnice w krajach docelowych. Podczas gdy SmokeLoader brał udział w atakach na Ukrainie, w incydentach w Polsce, na Słowacji, w Bułgarii i Serbii brał udział Remcos.

W tych operacjach wykorzystano AceCryptor do obrania za cel wielu krajów europejskich w celu wydobycia informacji lub uzyskania wstępnego dostępu do wielu firm. Złośliwe oprogramowanie było rozpowszechniane za pośrednictwem wiadomości spamowych, z których część była bardzo przekonująca i czasami pochodziła z legalnych, ale wykorzystywanych kont e-mail.

Ataki AceCryptor atakują dane uwierzytelniające przeglądarki

Celem ostatniej operacji jest zdobycie danych uwierzytelniających do poczty e-mail i przeglądarki na potrzeby kolejnych ataków na docelowe podmioty. Większość próbek złośliwego oprogramowania służyła jako początkowy wektor kompromisu.

W pierwszej połowie 2023 r. krajami najbardziej dotkniętymi złośliwym oprogramowaniem zawierającym AceCryptor były Peru, Meksyk, Egipt i Turcja, przy czym Peru odnotowało największą liczbę ataków – 4700.

W drugiej połowie 2023 r. uwaga przeniosła się na kraje europejskie, a Polska stała się celem ponad 26 000 ataków. Ukraina, Hiszpania i Serbia również doświadczyły tysięcy ataków.

W drugiej połowie roku dominującą rodziną szkodliwego oprogramowania pakowanego przez AceCryptor okazały się Rescoms, obejmujące ponad 32 000 instancji. Jak podają badacze, Polska odnotowała ponad połowę tych prób, a za nią plasowały się Serbia, Hiszpania, Bułgaria i Słowacja.

W sumie w tym okresie odnotowano w Polsce ponad 26 tys. takich ataków.

Ataki na polskie przedsiębiorstwa miały podobną tematykę, związaną z ofertami B2B dla firmy ofiary. Hakerzy próbowali nadać wiarygodność e-mailom, wykorzystując oryginalne polskie nazwy firm i nazwiska istniejących pracowników.

Badacze zauważyli niepewność co do tego, czy celem hakerów jest zatrzymanie skradzionych danych uwierzytelniających do użytku, czy też sprzedaż ich innym podmiotom zagrażającym.

Chociaż badacze nie byli w stanie określić źródła kampanii ataków, firmy Remcos i SmokeLoader były wielokrotnie łączone z hakerami działającymi w imieniu rosyjskiego rządu.