Gli hacker stanno attaccando molte aziende in tutta Europa con malware invisibili. I ricercatori ESET hanno notato un drammatico aumento dei cosiddetti attacchi AceCryptor tramite lo strumento di accesso remoto (RAT) Rescoms.
Tra la prima e la seconda metà del 2023, il numero di attacchi rilevati è triplicato: 42.000 utenti ESET in tutto il mondo sono stati presi di mira da criminali informatici e sono stati protetti. Particolarmente colpite sono state le imprese dell’Europa centrale e della Spagna. Novità in questi attacchi: per la prima volta gli hacker che hanno utilizzato lo strumento di accesso remoto (RAT) di Rescoms per gli attacchi hanno fatto ricorso ad AceCryptor, un software di camuffamento per programmi dannosi. Le campagne hanno preso di mira i dati di accesso degli account di posta elettronica e dei browser di aziende dei rispettivi Paesi, ponendo le basi per futuri attacchi.
Attacchi furtivi agli strumenti di accesso remoto
“Con questa campagna i criminali informatici volevano ottenere quante più informazioni possibili. A tale scopo utilizzano i cosiddetti messaggi spam "classici", che in molti casi si sono rivelati estremamente convincenti e sono stati inviati addirittura da account di posta elettronica violati", afferma il ricercatore ESET Jakub Kaloč, che ha scoperto l'ultima campagna di attacco. “L’apertura degli allegati di tali e-mail può avere gravi conseguenze per le aziende. Consigliamo quindi di fare attenzione alle email con allegati e di utilizzare software di sicurezza affidabili.”
AceCryptor e Rescoms – Ratti con tecnologia di occultamento
AceCryptor è un cosiddetto Cryptor-as-a-Service (CaaS). Si tratta di un software destinato a proteggere il proprio carico utile, in genere varie famiglie di malware, dall'identificazione e dal contrasto da parte di soluzioni di sicurezza. A questo scopo vengono utilizzate diverse tecniche, ad es. B. Rendere più difficili il debugging e l'analisi da parte del software antivirus. L'anno scorso, ESET ha esaminato AceCryptor e ha scoperto come funziona il software.
Nel caso attuale, gli hacker hanno combinato le due tecnologie e hanno inviato il software Rescoms camuffato da AceCryptor a un gran numero di utenti in molteplici campagne e-mail di spam. Le vittime della truffa hanno installato inconsapevolmente il software di accesso remoto, con il quale gli hacker hanno poi ottenuto i dati di accesso. Non è noto se abbiano raccolto questi dati per conto proprio o se li abbiano venduti ad altri criminali informatici. Ciò che è certo, tuttavia, è che una compromissione riuscita apre la porta a ulteriori attacchi, in particolare attacchi ransomware.
Diffusione tramite e-mail di spam che sembrano ingannevolmente reali
Le campagne di spam rivolte alle aziende polacche consistevano in e-mail con oggetti molto simili riguardanti offerte B2B per le aziende vittime. Per apparire quanto più credibili possibile, gli aggressori hanno ricercato in anticipo i nomi delle aziende polacche esistenti, nonché i nomi e i dati di contatto dei dipendenti e dei proprietari, che hanno fornito nelle loro e-mail. Quando le vittime cercavano il nome del mittente online, trovavano siti web legittimi ed erano più disposte ad aprire gli allegati dannosi.
Parallelamente alle campagne in Polonia, ESET ha registrato campagne in corso in Slovacchia, Bulgaria e Serbia. Anche le e-mail di spam qui sono state scritte nella lingua locale. Inoltre in Spagna si è verificata un'ondata di e-mail di spam con Rescoms come carico utile.
I paesi target degli hacker sono cambiati nel corso del 2023
Nella prima metà del 2023, Perù, Messico, Egitto e Turchia sono stati i più colpiti dal malware mascherato da AceCryptor. Il Perù ha registrato il maggior numero di attacchi con 4.700. La campagna della seconda metà dell'anno ha interessato soprattutto i Paesi europei.
I campioni di AceCryptor esaminati da ESET nella seconda metà del 2023 contenevano spesso due famiglie di malware come payload: Rescoms e SmokeLoader, una backdoor che consente ai criminali informatici di ricaricare ulteriore malware. SmokeLoader è stato spesso utilizzato negli attacchi informatici in Ucraina. Tuttavia, in Polonia, Slovacchia, Bulgaria e Serbia, il payload più comune di Rescom era AceCryptor.
Altro su ESET.com
Informazioni su ESET ESET è una società europea con sede a Bratislava (Slovacchia). Dal 1987, ESET sviluppa software di sicurezza pluripremiati che hanno già aiutato oltre 100 milioni di utenti a usufruire di tecnologie sicure. L'ampio portafoglio di prodotti per la sicurezza copre tutte le principali piattaforme e offre alle aziende e ai consumatori di tutto il mondo il perfetto equilibrio tra prestazioni e protezione proattiva. L'azienda ha una rete di vendita globale in oltre 180 paesi e uffici a Jena, San Diego, Singapore e Buenos Aires. Per maggiori informazioni visita www.eset.de o seguici su LinkedIn, Facebook e Twitter.