De aanvallen met AceCryptor werden gebruikt als een eerste compromisvector in campagnes gericht op Europese landen, waaronder Spanje, Polen, Slowakije, Bulgarije en Servië. Volgens de gebruikte malware denken ESET-onderzoekers dat deze campagnes bedoeld waren om e-mail- en browsergegevens te verkrijgen voor verdere aanvallen op bepaalde bedrijven.
· In de tweede helft van 2023 detecteerde ESET meerdere AceCryptor-campagnes met de Rescoms remote access tool (RAT) in Europese landen zoals Spanje, Polen, Bulgarije, Slowakije en Servië.
· De dreigingsactor achter deze campagnes misbruikte in sommige gevallen gecompromitteerde accounts om spam-mails te verzenden zodat deze er zo geloofwaardig mogelijk uitzagen.
· Het doel van deze campagnes was het verkrijgen van inloggegevens die zijn opgeslagen in browsers of e-mailclients, wat bij succes mogelijkheden voor verdere aanvallen zou openen.
BRATISLAVA, 20 maart 2024 — ESET Research registreerde een grote toename van AceCryptor-aanvallen. Tussen de eerste en tweede helft van 2023 zijn ze verdrievoudigd, wat overeenkomt met de bescherming van 42.000 ESET-gebruikers wereldwijd. ESET zag tijdens de afgelopen maanden ook een grote verandering in het gebruik van AceCryptor. De aanvallers die Rescoms (ook bekend als Remcos) verspreidden, gebruikten ook AceCryptor, wat vroeger niet het geval was. Rescoms is een tool voor externe toegang (RAT) vaak door bedreigingsactoren gebruikt voor kwaadaardige doeleinden. AceCryptor is een cryptor-as-a-service die de detectie van malware belemmert. Volgens de gebruikte malware denken ESET-onderzoekers dat deze campagnes bedoeld waren om e-mail- en browsergegevens te verkrijgen voor verdere aanvallen op bepaalde bedrijven. De meerderheid van de met AceCryptor gevulde Rescoms RAT-stalen werden gebruikt als een eerste compromisvector in campagnes gericht op Europese landen, waaronder Spanje, Polen, Slowakije, Bulgarije en Servië.
“In deze campagnes richtte AceCryptor zich op meerdere Europese landen om informatie te extraheren of initiële toegang te krijgen tot meerdere bedrijven. Bij deze aanvallen werd malware verspreid in spam-mails, die soms behoorlijk overtuigend waren. De spam werd zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts”, zegt Jakub Kaloč, de ESET-onderzoeker die de nieuwste AceCryptor met Rescoms-campagne ontdekte. “Het openen van bijlagen van deze e-mails kan ernstige gevolgen hebben voor u of uw bedrijf. Wij raden u aan attent te zijn op wat u opent en betrouwbare endpoint-beveiligingssoftware te gebruiken die deze malware kan detecteren”, verduidelijkt hij.
In de eerste helft van 2023 waren Peru, Mexico, Egypte en Turkije de landen die het meest getroffen werden door malware verpakt door AceCryptor. Peru kende met 4.700 het grootste aantal aanvallen. De spamcampagnes via Rescoms veranderden deze statistieken dramatisch in de tweede helft van het jaar. Malware met AceCryptor trof vooral Europese landen.
Alle campagnes gericht op Poolse bedrijven bevatten e-mails met vergelijkbare onderwerpen over B2B-aanbiedingen. Om er zo geloofwaardig mogelijk uit te zien, voerden de aanvallers een onderzoek uit en gebruikten ze in de handtekening van hun e-mails bestaande Poolse bedrijfsnamen en zelfs namen van werknemers/eigenaars en hun contactgegevens. Mocht een slachtoffer de naam van de afzender googelen dan moest de zoekopdracht succesvol zijn, zodat het slachtoffer de kwaadaardige bijlage zeker zou openen.
Het is niet bekend of de inloggegevens verzameld zijn voor de groep die deze aanvallen uitvoerde en of deze gestolen inloggegevens later aan andere bedreigingsactoren werden verkocht. Wat zeker is, is dat succesvolle compromissen de mogelijkheid bieden voor verdere aanvallen, vooral met ransomware.
Voor meer technische informatie lees de blog over de AceCryptor- en Rescoms RAT-campagne: “Rescoms rides waves of AceCryptor spam op https://www.welivesecurity.com
Al meer dan 30 jaar ontwikkelt ESET® geavanceerde IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds meer gesofisticeerde digitale dreigingen. Van endpoint- en mobiele beveiliging tot detectie en respons van endpoints, encryptie en multi-factor authenticatie, beschermen en bewaken ESET’s krachtige, gebruiksvriendelijke oplossingen discreet 24/7. Ze updaten in realtime de verdediging om ononderbroken gebruikers en ondernemingen te beveiligingen.
De constant veranderende bedreigingen vragen een schaalbare provider van IT-beveiliging zodat technologie veilig kan gebruikt worden. Dit wordt ondersteund door ESET’s R & D-centra over de hele wereld. Deze zetten zich in om onze gemeenschappelijke toekomst te ondersteunen.
Voor meer informatie bezoek www.eset.com of volg het nieuws op LinkedIn, Facebook, en X.
Om meer te vernemen over de ESET-oplossingen, bezoek https://www.est.com/be-nl/
Read more