Porast AceCryptor napada u Evropi

Porast AceCryptor napada u Evropi, pokazuje istraživanje kompanije ESET. Ona je primijetila porast napad koje pokreće AceCryptor platforma, omogućavajući zlonamjernim akterima da prikriju svoj zlonamjerni softver. Ovaj skok odgovara integraciji ozloglašenog Remcos RAT (trojanca za daljinski pristup), poznatog još i kao Rescoms, kao primarnog alata za napad.

ACECRYPTOR

Za autore zlonamjernog softvera, zaštita njihovih kreacija od otkrivanja je izazovan zadatak. Kriptori su prvi sloj odbrane za zlonamjerni softver koji se distribuira. Iako zlonamjerni akteri mogu da kreiraju i održavaju sopstvene prilagođene kriptore, za zlonamjerne aktere kriminalnog softvera to često može biti dugotrajan ili tehnički težak zadatak, posebno da održe svoj kriptor u takozvanom potpuno neotkrivenom (eng. fully undetectable – FUD) stanju.

Potražnja za takvom zaštitom stvorila je više opcija kriptor kao usluga (eng. cryptor-as-a-service – CaaS) koje pakuju zlonamjerni softver. Ovi kriptori mogu da uključuju više tehnika protiv virtualnih mašina, protiv otklanjanja grešaka i anti-analize kombinovanih da bi se postiglo prikrivanje korisnog opterećenja.

AceCryptor je prisutan od 2016. godine i tokom svog postojanja korišćen za pakovanje desetina porodica zlonamjernog softvera, između ostalog od strane jednog od najpoznatijih zlonamjernih softvera Emotet, dok on još nije koristio sopstveni kriptor. AceCryptor je je u velikoj mjeri zamagljen, uključuje troslojnu arhitekturu za progresivno dešifrovanje i raspakivanje svake faze i konačno pokretanje korisnog opterećenja, dok takođe sadrži tehnike protiv virtualnih mašina, protiv otklanjanja grešaka i anti-analize za sakrivanje od detekcije.

Zlonamjerni softver zapakovan AceCryptor kriptorom se isporučuje preko trojanizovanih instalacija piratskog softvera, neželjenih elektronskih poruka sa zlonamjernim prilozima ili drugog zlonamjernog softvera koji je već kompromitovao uređaj. Takođe se sumnja da se prodaje kao kriptor kao usluga – CaaS, zbog činjenice da ga višestruki zlonamjerni akteri koriste za propagiranje raznolikog spektra porodica zlonamjernog softvera.

Zbog svoje uloge u šifrovanju zlonamjernog softvera kako bi se izbjegao otkrivanje, AceCryptor uslužni program za zlonamjerne aktere bio je meta stalnog posmatranja od strane sigurnosnih istraživača kompanije ESET. Početkom 2023. godine trend primjene ovog zlonamjernog softvera je bio stabilan, međutim u drugoj polovni godine dolazi do dvostruko povećanja napada korištenjem AceCryptor zlonamjernog softvera, što je označilo značajan zaokret u dinamici njegove upotrebe. Ovo promjena se pripisuje uglavnom njegovoj upotrebi od strane zlonamjernog aktera koji stoji iza Remcos Remote Access Trojan – Remcos RAT zlonamjernog softvera.

 

KOORDINISANA KAMPANJA

Primarno napadajući na evropske nacije kao što su Poljska, Slovačka, Bugarska i Srbija,  AceCryptor uzorci sa zapakovanim Remcos RAT zlonamjernim softverom poslužili su kao predvodnik brojnih kampanja neželjene pošte. Ove kampanje pedantno kreiraju elektronsku poštu kako bi imitirali legitimnu poslovnu komunikaciju i mame primaoce da preuzmu zlonamjerni sadržaj. Sofisticiranost ovih operacija je naglašena njihovom sposobnošću da imitiraju legitimne domene kompanije putem napada poznatog kao grešaka u kucanju (eng. typosquatting), dodatno naglašavajući obmanjujuću snagu ovih prijetnji.

 

“U ovim kampanjama, AceCryptor je korišćen za ciljanje više evropskih zemalja i za dobijanje informacija ili dobijanje početnog pristupa više kompanija. Zlonamjerni softver u ovim napadima distribuiran je u neželjenom elektronskom poštom, koja je u nekim slučajevima bila prilično ubjedljiva; ponekad je neželjena pošta čak bila poslata sa legitimnih, ali zloupotrebljenih naloga elektronske pošte.”

 – Jakub Kaloč, ESET researcher –

 

Uprkos manjoj jedinstvenosti zlonamjernih uzoraka, dosljedna upotreba specifičnih datoteka zlonamjernog softvera u opsežnim kampanjama elektronske pošte povećala je domet ovih prijetnji. Primijenjena strategija ukazuje na pomak ka koncentrisanijim i ciljanim napadima, maksimizirajući potencijalni uticaj na odabrane grupe žrtava.

Tokom druge polovine 2023. godine, Remcos RAT  je postala najrasprostranjenija porodica zlonamjernog softvera koju je AceCryptor pakovao sa preko 32.000 otkrivenih napada. Više od polovine ovih pokušaja dogodilo se u Poljskoj, a zatim u Srbiji, Španiji, Bugarskoj i Slovačkoj.

 

Poljska

Zahvaljujući telemetriji kompanije ESET, dostupni podaci govore da je ukupno registrovano 26.000 napada u Poljskoj u drugoj polovni 2023. godine. Sve kampanje neželjene pošte bile su ciljane na preduzeća u Poljskoj i sve poruke elektronske pošte su imale veoma slične teme o B2B ponudama za kompanije žrtve. Da bi izgledali što je moguće uvjerljivije, zlonamjerni akteri su istraživali i koristili postojeće nazive poljskih kompanija, pa čak i imena postojećih zaposlenih ili vlasnika i kontakt informacije prilikom potpisivanja tih elektronskih poruka. Ovo je urađeno da bi u slučaju da žrtva pokuša da potraži ime pošiljaoca na internetu, pretraga bila uspješna, što bi moglo da ih navede da otvore zlonamjerni prilog.

 

Slovačka, Bugarska i Srbija

U istom periodu, uočene su kampanje u Slovačkoj, Bugarskoj i Srbiji, koje su takođe uglavnom ciljale lokalne kompanije. Postoje čak i tragovi u samom zlonamjernom softveru koji povezuju ove kampanje sa istim zlonamjernim akterom koji je sprovodio kampanje u Poljskoj. Jedina značajna stvar koja se promijenila je, naravno jezik koji se koristi u neželjenoj elektronskoj pošti kako bi bio prikladan za te određene zemlje.

 

Španija

Pored navedenih kampanja i Španija je doživjela napad neželjene elektronske pošte sa Remcos RAT zlonamjernim softverom. U ovim kampanjama napada na Španiju može se potvrditi samo u jednom slučaju da je zlonamjerni akter povezan sa prethodnim slučajevima. U ostalim kampanjama primjenjivani su nešto drugačiji obrasci i tragovi, pa se zbog toga ne može tvrditi da su sve kampanje poticale iz istog izvora.

 

FUNKCIONISANJE

Napad započinje slanjem ciljane elektronske pošte (eng. Spear-phishing), gdje napadači oponašaju legitimnu poslovnu prepisku ili ponude. Ove elektronske poruke su pametno dizajnirane da izgledaju autentično, često uključujući detalje specifične za ciljnu kompaniju. Možda čak potiču od kompromitovanih naloga poslovne elektronske pošte, što dodatno povećava kredibilitet.

Ova elektronska pošta sadrži posebno pripremljene priloge u obliku arhive ili ISO datoteke, čijim otvaranjem korisnici nesvjesno pokreću Remcos RAT na svojim uređajima koji bio upakovan korištenjem AceCryptor zlonamjernog softvera. Kada se jednom pokrene Remcos RAT daje zlonamjernim akterima široku kontrolu nad zaraženim uređajem, pa oni mogu da nadgledaju aktivnost, kradu podatke i postavljaju dodatni zlonamjerni softver za dalju eksploataciju.

Analizirajući kampanju i funkcionisanje zlonamjernog softvera, čini se da je glavni cilj zlonamjernih aktera dobijanje osjetljivih akreditiva iz internet pregledača i za elektronsku poštu. Ovi ukradeni podaci nude pristup sistemima poslovne organizacije, omogućavajući im da pokrenu razornije napade ili prodaju pristup drugim zlonamjernim akterima.

 

ZAKLJUČAK

AceCryptor koji potencijalno funkcioniše po modelu kriptor kao usluga – CaaS pruža zlonamjernim akterima praktičnu i efikasnu uslugu. On prikriva zlonamjerni softver, ometajući detekciju od strane bezbjednosnog softvera. Njegova široka upotreba od strane različitih zlonamjernih aktera čini ga još opasnijim, povećavajući domet potencijalnih napada.

Još uvijek je nepoznato da li su prikupljene informacije za zlonamjerne aktere koji su izvršili ove napade ili će one biti prodate drugim zlonamjernim akterima. Gotovo sigurno je da je uspješno kompromitovanje korisničkih uređaja i krađa podataka otvorena mogućnost za dalje napade, posebno za napade ransomware zlonamjernim softverom.

Partnerstvo koje je uočeno u ovom slučaju između AceCryptor kriptora i Remcos RAT zlonamjernog softvera pokazuje nemilosrdnu prirodu sajber napada. Poslovne organizacije moraju dati prioritet proaktivnom bezbjednosnom stavu koji naglašava obuku zaposlenih, višeslojnu odbranu i stalnu budnost. Neprilagođavanje može dovesti do ozbiljnih povreda podataka, finansijskih gubitaka i štete po reputaciju same poslovne organizacije.

 

ZAŠTITA

Kako bi se zaštitili korisnici i poslovne organizacije i smanjili rizici povezani sa AceCryptor i Remcos RAT zlonamjernim softverom, korisnici bi trebalo da primjenjuju sljedeće preporuke:

• Edukacija zaposlenih o rizicima koji se odnose na mrežu, uređaje i infrastrukturu poslovne organizacije mogu značajno pomoći u prevenciji napada, jer ljudski faktor ostaje jedna od najvećih ranjivosti u sajber bezbjednosti. Redovne obuke zaposlenih mogu pomoći u identifikaciji i prijavi sajber napada,
• Korištenje sveobuhvatnih bezbjednosnih riješenja kao što su softver za detekciju i odgovor na prijetnje (eng. Endpoint detection and response – EDR) ili softver za prošireno otkrivanje i odgovor (eng. Extended detection and response – XDR). To su rješenja koja mogu upozoriti korisnike sistema na potencijalne napade i spriječiti dalji napredak zlonamjernog softvera prije nego što dođe do značajnije štete,
• Segmentacija mreže bi trebalo da se podrazumijeva u svakom planiranju i radu mrežne arhitekture. Segmentacija mreže dodatno sama po sebi primjenjuje najbolje bezbjednosne prakse i otežava uspjeh zlonamjernih napada,
• Potrebno je biti oprezna sa dolaznom elektronskom poštom i drugim porukama, jer prilozi i linkovi u sumnjivim porukama se ne smiju otvarati zbog zbog velike vjerovatnoće da će pokrenuti proces infekcije uređaja,
• Redovno ažuriranje operativnog sistema i aplikacija, kako bi se na vrijeme ispravili sigurnosni propusti koje zlonamjerni softver može da iskoristi,
• Biti redovno informisan o najnovijim dešavanjima i trendovima u domenu sajber bezbjednosti uz usvajanje proaktivne bezbjednosne strategije, jer to predstavlja ključ za očuvanje osjetljivih informacija i zaštite od zlonamjernih prijetnji.