Využívajú ho tisíce typov malvéru, aby ostali neodhaliteľné: AceCryptor vyčíňa nielen na Slovensku, ale aj v zahraničí
Softvér AceCryptor pomáha malvéru ostať neodhaliteľným a osvojilo si ho množstvo typov malvéru. Vyčíňa nielen na Slovensku, ale aj v Česku a ďalších krajinách.
Bezpečnostní experti z ESETu informujú o hackerskej operácií AceCryptor, útoku ktorý pôvodne zachytila spoločnosť Avast. Ide o formu útoku, ktorá koluje po internete od roku 2016 a od tejto doby útok vystriedal desiatky rôznych malvérových rodín.
Znamená to, že veľa technických komponentov malvéru už v minulosti bezpečnostní experti popísali. Pôvodne boli takzvané kryptory známe tiež ako DJVU obfuscation, SmokeLoader, RedLine a pod ďalšími názvami. Kryptor je prvá úroveň obrany malvéru pred detekciou. Hackeri vynakladajú veľké úsilie na to, aby bol ich škodlivý softvér čo najmenej odhaliteľný. Mnohé hackerské hrozby používajú svoje vlastné kryptory. Podvodníci a iný kyberzločinci väčšinou nemajú čas udržiavať kryptor v takzvanom stave FUD (pozn. redakcie: Fully Undetectable), čo v preklade znamená plne nedetekovateľný.
V týchto prípadoch sa v kyberpriestore objavuje „kryptor ako služba“, teda prenajímanie si už vytvoreného kryptora, o ktorý sa stará niekto iný. Jedným z predplatiteľných kryptorov je aj AceCryptor a ako sme už spomenuli, v internetovom priestore sa s ním bezpečnostní experti stretávajú už nejaký ten piatok.
Služby tohto konkrétneho kryptora využili mnohé kyberhrozby, medzi ne sa radí aj najznámejší malvér Emotet v dobe, kedy ešte nepoužíval vlastné šifrovanie. V rozmedzí rokov 2021-2022 ESET zaznamenal viac ako 80-tisíc jedinečných vzoriek AceCryptoru. Tento softvér odhalili aj na území Českej republiky a aj na Slovensku. No treba povedať, že útočníci necielia len na nás, ale záber je globálny. Nižšie si môžete pozrieť distribúciu tohto škodlivého kódu naprieč krajinami, pričom vidno, že záber je široký.
No i v tomto ruku sa podarilo analytikom identifikovať kvantum škodlivého kódu, uvádza spoločnosť na sociálnej sieti. Hovoríme o viac ako 50-tisícoch prípadov, uvádza spoločnosť v príspevku nižšie.
Neprehliadnite
„V prvej polovici roku 2023 #ESETresearch pokračoval v monitorovaní populárneho cryptor-as-a-service (CaaS) #AceCryptor, ktorý používajú iné rodiny malvéru, aby sa vyhli odhaleniu. Naša telemetria hlásila až 53 000 zásahov a 23 000 unikátnych vzoriek tejto hrozby. 1/5“
In H1 2023, #ESETresearch has continued to monitor the popular cryptor-as-a-service (CaaS) #AceCryptor used by other malware families to avoid detection. Our telemetry reported as many as 53,000 hits and 23,000 unique samples of this threat. 1/5
— ESET Research (@ESETresearch) August 9, 2023
Vo vnútri softvéru našli bezpečnostní experti zabalených množstvo rôznych škodlivých softvérov, preto sa predpokladá, že AceCryptor nie je spojený len s jednou hrozbou, ale predáva sa niekde ako CaaS (pozn. redakcie: Cryptor as a Service – kryptor ako služba).
AceCryptor je mimoriadne využívaným
Analytici z ESETu zistili že po rozbalení AceCryptoru v ňom mohli nájsť malvérové rodiny SmokeLoader, RedLine Stealer, RanumBot, Raccoon Stealer, STOP ransomware, Amadey, Fareit Pitou, Tofsee, Taurus, Phobos, Formbook a oveľa viac.
Sledovanie aktivity tohto softvéru pomáha bezpečnostným expertom monitorovať aktivity samotného malvéru, ktorý služby tohto kryptora využíva. Príkladom môže byť RedLine Stealer, ktorý sa po prvýkrát objavil v prvom štvrťroku minulého roka. Z pozorovaných detekcii možno usúdiť, že tento malvér používal kryptor AceCryptor prakticky od začiatku svojej existencie a používa ho doteraz. Bezpečnostní experti dokážu vďaka spoľahlivej detekcii AceCryptoru monitorovať nielen aktivitu starých hrozieb, no dokážu odsledovať aj nové kyberhrozby.
Spomenuli sme už, že tento softvér zachytili experti aj u nás a v susedných Čechách. Keďže ide o šifrovací softvér, ktorý môže v sebe ukrývať množstvo odlišného malvéru. Niet divu, že sa objavuje po celom svete. AceCryptor používa niekoľko hackerských skupín, ktoré doňho zabalia škodlivý softvér. Distribúcia tohto malvéru preto prebieha odlišnými spôsobmi. Najčastejšie sa však šíri cez inštaláciu pirátskeho softvéru, v ktorej sa nachádza trójsky kôň. Druhým najčastejším spôsobom distribúcie je cez spam e-maily, v ktorých sa nachádza infikovaná príloha.
Komentáre