Bilgisayar korsanları Avrupa çapında birçok şirkete gizli kötü amaçlı yazılımlarla saldırıyor. ESET araştırmacıları, uzaktan erişim aracı (RAT) Rescom'ları yoluyla yapılan AceCryptor saldırılarında çarpıcı bir artış olduğunu fark etti.
2023'ün ilk ve ikinci yarısı arasında tespit edilen saldırıların sayısı üç katına çıktı: Dünya çapında 42.000 ESET kullanıcısı siber suçlular tarafından hedef alındı ve korundu. Orta Avrupa ve İspanya'daki şirketler özellikle etkilendi. Bu saldırılardaki yenilikler: Saldırılarda Rescoms uzaktan erişim aracını (RAT) kullanan bilgisayar korsanları, ilk kez kötü amaçlı programlar için bir kamuflaj yazılımı olan AceCryptor'a başvurdu. Kampanyalar, ilgili ülkelerdeki şirketlerin e-posta ve tarayıcı hesaplarına yönelik erişim verilerini hedefleyerek gelecekteki saldırıların temelini oluşturdu.
Gizli uzaktan erişim aracı saldırıları
"Bu kampanyayla siber suçlular mümkün olduğu kadar çok bilgi elde etmek istediler. Bunu yapmak için, çoğu durumda son derece ikna edici olan ve hatta ele geçirilen e-posta hesaplarından gönderilen 'klasik' spam mesajlarını kullanıyorlar," diyor en son saldırı kampanyasını keşfeden ESET araştırmacısı Jakub Kaloč. “Bu tür e-postalardaki eklerin açılması şirketler açısından ciddi sonuçlar doğurabilir. Bu nedenle ek içeren e-postalara karşı dikkatli olmanızı ve güvenilir bir güvenlik yazılımı kullanmanızı tavsiye ediyoruz.”
AceCryptor ve Rescoms – Gizleme teknolojisine sahip fareler
AceCryptor, Hizmet Olarak Kriptolayıcı (CaaS) olarak adlandırılan bir hizmettir. Bu, genellikle çeşitli kötü amaçlı yazılım ailelerinden oluşan yükünü, güvenlik çözümleri tarafından tespit edilmekten ve bunlarla mücadele edilmekten korumayı amaçlayan bir yazılımdır. Bunun için çeşitli teknikler kullanılır; B. Antivirüs yazılımıyla hata ayıklamayı ve analizi zorlaştırın. Geçen yıl ESET, AceCryptor'ı araştırdı ve yazılımın nasıl çalıştığını ortaya çıkardı.
Mevcut durumda, bilgisayar korsanları iki teknolojiyi birleştirdi ve AceCryptor tarafından gizlenen Rescoms yazılımını birden fazla spam e-posta kampanyasında çok sayıda kullanıcıya gönderdi. Dolandırıcılığa kanan kurbanlar farkında olmadan uzaktan erişim yazılımını yüklediler ve bilgisayar korsanları bunu daha sonra erişim verilerini elde etmek için kullandılar. Bu verileri kendileri için mi topladıkları yoksa diğer siber suçlulara mı sattıkları bilinmiyor. Ancak kesin olan şey, başarılı bir uzlaşmanın daha sonraki saldırılara, özellikle de fidye yazılımı saldırılarına kapıyı açmasıdır.
Yanıltıcı derecede gerçek görünen spam e-postalar yoluyla yayılıyor
Polonya'daki şirketleri hedef alan spam kampanyaları, mağdur şirketlere yönelik B2B teklifleriyle ilgili çok benzer konu başlıklarına sahip e-postalardan oluşuyordu. Saldırganlar, mümkün olduğu kadar güvenilir görünmek için, mevcut Polonyalı şirket adlarının yanı sıra e-postalarında verdikleri çalışanların ve sahiplerin adlarını ve iletişim bilgilerini önceden araştırdılar. Kurbanlar gönderenin adını çevrimiçi olarak aradıklarında meşru web siteleri buldular ve kötü amaçlı ekleri açmaya daha istekli oldular.
ESET, Polonya'daki kampanyalara paralel olarak Slovakya, Bulgaristan ve Sırbistan'da da devam eden kampanyaları kaydetti. Buradaki spam e-postalar da yerel dilde yazılmıştır. Ayrıca İspanya'da Rescom'ların yük olarak kullanıldığı bir spam e-posta dalgası da yaşandı.
Bilgisayar korsanlarının hedef ülkeleri 2023 boyunca değişti
2023'ün ilk yarısında AceCryptor tarafından gizlenen kötü amaçlı yazılımlardan en çok Peru, Meksika, Mısır ve Türkiye etkilendi. En fazla saldırıyı 4.700 bin XNUMX saldırıyla Peru kaydetti. Yılın ikinci yarısındaki kampanya ağırlıklı olarak Avrupa ülkelerini etkiledi.
ESET'in 2023'ün ikinci yarısında incelediği AceCryptor örnekleri genellikle yük olarak iki kötü amaçlı yazılım ailesi içeriyordu: Rescoms ve siber suçluların ek kötü amaçlı yazılımları yeniden yüklemesine olanak tanıyan bir arka kapı olan SmokeLoader. SmokeLoader, Ukrayna'daki siber saldırılarda sıklıkla kullanıldı. Ancak Polonya, Slovakya, Bulgaristan ve Sırbistan'da Rescom'un en yaygın veri yükü AceCryptor'du.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.