Na Slovensku zachytili a zablokovali 1400 pokusov o útok.
Výskumníci spoločnosti zaznamenali dramatický nárast útokov s využitím služby na kamuflovanie a ochranu malvéru AceCryptor, pričom počet detekcií sa medzi prvou a druhou polovicou roka 2023 strojnásobil. Okrem toho v posledných mesiacoch zaregistrovali nové využitie softvéru AceCryptor pri šírení nástroja Rescoms (známy aj ako Remcos).
Rescoms je nástroj na vzdialený prístup (RAT), ktorý útočníci často používajú na škodlivé účely. AceCryptor je služba, ktorá kamufluje a chráni malvér tak, aby bol ťažšie detekovateľný. Na základe správania sa nasadeného malvéru výskumníci predpokladajú, že cieľom týchto kampaní bolo získať prihlasovacie údaje z e-mailových klientov a prehliadačov pre ďalšie útoky na cieľové spoločnosti.
Prevažná väčšina vzoriek Rescoms chránená službou AceCryptor bola použitá ako prvotný vektor kompromitácie vo viacerých spamových kampaniach zameraných na európske krajiny vrátane strednej Európy (Poľsko, Slovensko), Balkánu (Bulharsko, Srbsko) a Španielska. V týchto kampaniach bol AceCryptor použitý pri phishingových kampaniach cielených na firmy vo viacerých európskych krajinách na kamuflovanie a ochranu malvéru Rescoms, ktorý dokáže získať citlivé informácie a počiatočný prístup do systémov obetí.
Malvér sa pri týchto útokoch šíril prostredníctvom spamových e-mailov, ktoré boli v niektorých prípadoch pomerne presvedčivé. Niekedy bol spam dokonca odoslaný z legitímnych, ale zneužitých e-mailových účtov. Keďže otváranie príloh z takýchto e-mailov môže mať pre používateľa alebo spoločnosť vážne následky, odporúčame všetkým, aby si dávali pozor na to, čo otvárate, a používali spoľahlivý softvér na ochranu koncových zariadení, ktorý dokáže tento malvér odhaliť.
V prvej polovici roka 2023 boli z hľadiska zachytenia nástroja AceCryptor najviac zasiahnutými krajinami Peru, Mexiko, Egypt a Turecko, pričom najväčší počet útokov zaznamenalo Peru (4700). Spamové kampane Rescoms tieto štatistiky v druhej polovici roka 2023 výrazne zmenili. Škodlivý softvér využívajúci AceCryptor zacielil najmä na európske krajiny.
Vzorky AceCryptor, často skrývali dve malvérové rodiny: Rescoms a SmokeLoader. Vzorky zachytené na Ukrajine obsahovali malvér SmokeLoader. Naopak v Poľsku, na Slovensku, v Bulharsku a Srbsku bola zvýšená aktivita spôsobená AceCryptorom kamuflujúcim malvér Rescoms. Spamové e-maily nabádali obete z prostredia firiem, aby odosielateľovi zaslali ponuku na základe zoznamu v priloženom dokumente.
V prílohe sa v skutočnosti nachádzal škodlivý kód Rescoms kamuflovaný nástrojom AceCryptor. Ak by firma nemala nainštalovaný bezpečnostný softvér, ktorý by spamový e-mail odchytil a používateľ by prílohu otvoril, mohol do firemnej siete vpustiť tento malvér. Viaceré rozsiahle spamové kampane zaznamenali výskumníci v Poľsku.
Útoky pozostávali z e-mailov s veľmi podobnými predmetmi o ponukách zo segmentu B2B. Aby vyzerali čo najdôveryhodnejšie, útočníci si urobili prieskum a pri podpisoch v týchto e-mailoch použili existujúce názvy poľských spoločností a dokonca aj mená a kontaktné údaje existujúcich zamestnancov či vlastníkov. V prípade, že si obeť vygooglila meno odosielateľa, zobrazilo sa vo vyhľadávaní, čo ju mohlo presvedčiť, aby otvorila škodlivú prílohu.
Hoci nie je známe, či útočníci využili ukradnuté prihlasovacie údaje pre vlastné účely, alebo ich predali inej hackerskej skupine, je isté, že úspešné skompromitovanie otvára možnosť pre ďalšie, najmä ransomvérové útoky. Súbežne s kampaňami na Slovensku a v Poľsku boli zaznamenané prebiehajúce kampane aj v Bulharsku a Srbsku. Jediným významným rozdielom bolo to, že jazyk použitý v spamových e-mailoch bol prispôsobený pre dané krajiny. Okrem už spomínaných kampaní sa vyskytla vlna spamových e-mailov s Rescoms aj v Španielsku.
