Πέρυσι η ESET δημοσίευσε ένα blogpost για το AceCryptor – ένας από τους πιο δημοφιλείς και διαδεδομένους cryptors-as-a-service (CaaS) που λειτουργεί από το 2016. Για το 1ο εξάμηνο 2023 δημοσιεύσαμε στατιστικά από την τηλεμετρία μας, σύμφωνα με τα οποία οι τάσεις από προηγούμενες περιόδους συνεχίστηκαν χωρίς δραστικές αλλαγές.
Ωστόσο, το δεύτερο εξάμηνο του 2 καταγράψαμε μια σημαντική αλλαγή στον τρόπο χρήσης του AceCryptor. Όχι μόνο είδαμε και αποκλείσαμε τις διπλάσιες επιθέσεις στο δεύτερο εξάμηνο του 2023 σε σύγκριση με το 2ο εξάμηνο του 2023, αλλά παρατηρήσαμε επίσης ότι το Rescoms (επίσης γνωστό ως Remcos) άρχισε να χρησιμοποιεί το AceCryptor, κάτι που δεν συνέβαινε εκ των προτέρων.
Η συντριπτική πλειονότητα των δειγμάτων RAT Rescoms με συσκευασίες AceCryptor χρησιμοποιήθηκαν ως αρχικός φορέας συμβιβασμού σε πολλαπλές καμπάνιες ανεπιθύμητης αλληλογραφίας που στοχεύουν ευρωπαϊκές χώρες, όπως η Πολωνία, η Σλοβακία, η Βουλγαρία και η Σερβία.
Βασικά σημεία αυτής της ανάρτησης ιστολογίου:
- Το AceCryptor συνέχισε να παρέχει υπηρεσίες συσκευασίας σε δεκάδες πολύ γνωστές οικογένειες κακόβουλου λογισμικού το δεύτερο εξάμηνο του 2.
- Παρόλο που είναι πολύ γνωστό για τα προϊόντα ασφαλείας, η επικράτηση του AceCryptor δεν δείχνει ενδείξεις μείωσης: αντίθετα, ο αριθμός των επιθέσεων αυξήθηκε σημαντικά λόγω των καμπανιών Rescoms.
- Το AceCryptor είναι μια επιλογή κρυπτογράφησης παραγόντων απειλών που στοχεύουν συγκεκριμένες χώρες και στόχους (π.χ. εταιρείες σε μια συγκεκριμένη χώρα).
- Το δεύτερο εξάμηνο του 2, η ESET εντόπισε πολλαπλές καμπάνιες AceCryptor+Rescoms σε ευρωπαϊκές χώρες, κυρίως στην Πολωνία, τη Βουλγαρία, την Ισπανία και τη Σερβία.
- Ο παράγοντας απειλής πίσω από αυτές τις καμπάνιες σε ορισμένες περιπτώσεις έκανε κατάχρηση παραβιασμένων λογαριασμών για να στείλει ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, προκειμένου να τους κάνει να φαίνονται όσο το δυνατόν πιο αξιόπιστοι.
- Ο στόχος των καμπανιών ανεπιθύμητης αλληλογραφίας ήταν να αποκτήσουν διαπιστευτήρια αποθηκευμένα σε προγράμματα περιήγησης ή προγράμματα-πελάτες email, τα οποία σε περίπτωση επιτυχούς συμβιβασμού θα άνοιγαν πιθανότητες για περαιτέρω επιθέσεις.
AceCryptor στο εξάμηνο 2 του 2023
Το πρώτο εξάμηνο του 2023 η ESET προστάτεψε περίπου 13,000 χρήστες από κακόβουλο λογισμικό γεμάτο AceCryptor. Το δεύτερο εξάμηνο του έτους, σημειώθηκε τεράστια αύξηση του κακόβουλου λογισμικού με AceCryptor που εξαπλώθηκε στη φύση, με τις ανιχνεύσεις μας να τριπλασιάζονται, με αποτέλεσμα πάνω από 42,000 προστατευμένους χρήστες ESET παγκοσμίως. Όπως μπορεί να παρατηρηθεί στο Σχήμα 1, εντοπίσαμε πολλαπλά ξαφνικά κύματα εξάπλωσης κακόβουλου λογισμικού. Αυτές οι αιχμές εμφανίζουν πολλαπλές καμπάνιες ανεπιθύμητης αλληλογραφίας που στοχεύουν σε ευρωπαϊκές χώρες όπου το AceCryptor συσκεύασε ένα Rescoms RAT (περισσότερα συζητείται στο Rescoms καμπάνιες Ενότητα).
Επιπλέον, όταν συγκρίνουμε τον πρωτογενή αριθμό δειγμάτων: το πρώτο εξάμηνο του 2023, η ESET εντόπισε πάνω από 23,000 μοναδικά κακόβουλα δείγματα του AceCryptor. το δεύτερο εξάμηνο του 2023, είδαμε και εντοπίσαμε «μόνο» πάνω από 17,000 μοναδικά δείγματα. Αν και αυτό μπορεί να είναι απροσδόκητο, μετά από μια πιο προσεκτική ματιά στα δεδομένα υπάρχει μια λογική εξήγηση. Οι καμπάνιες ανεπιθύμητης αλληλογραφίας Rescoms χρησιμοποίησαν τα ίδια κακόβουλα αρχεία σε καμπάνιες ηλεκτρονικού ταχυδρομείου που αποστέλλονται σε μεγαλύτερο αριθμό χρηστών, αυξάνοντας έτσι τον αριθμό των ατόμων που αντιμετώπισαν το κακόβουλο λογισμικό, διατηρώντας όμως τον αριθμό των διαφορετικών αρχείων σε χαμηλό επίπεδο. Αυτό δεν συνέβη σε προηγούμενες περιόδους καθώς το Rescoms δεν χρησιμοποιήθηκε σχεδόν ποτέ σε συνδυασμό με το AceCryptor. Ένας άλλος λόγος για τη μείωση του αριθμού των μοναδικών δειγμάτων είναι επειδή ορισμένες δημοφιλείς οικογένειες προφανώς σταμάτησαν (ή σχεδόν σταμάτησαν) να χρησιμοποιούν το AceCryptor ως το CaaS τους. Ένα παράδειγμα είναι το κακόβουλο λογισμικό Danabot που σταμάτησε να χρησιμοποιεί το AceCryptor. Επίσης, το εξέχον RedLine Stealer του οποίου οι χρήστες σταμάτησαν να χρησιμοποιούν το AceCryptor, με βάση μια μείωση μεγαλύτερη από 60% στα δείγματα AceCryptor που περιέχουν αυτό το κακόβουλο λογισμικό.
Όπως φαίνεται στην Εικόνα 2, το AceCryptor εξακολουθεί να διανέμει, εκτός από το Rescoms, δείγματα από πολλές διαφορετικές οικογένειες κακόβουλου λογισμικού, όπως το SmokeLoader, το STOP ransomware και το Vidar stealer.
Το πρώτο εξάμηνο του 2023, οι χώρες που επλήγησαν περισσότερο από κακόβουλο λογισμικό που συσκευάστηκε από το AceCryptor ήταν το Περού, το Μεξικό, η Αίγυπτος και η Τουρκία, όπου το Περού, με 4,700, είχε τον μεγαλύτερο αριθμό επιθέσεων. Οι καμπάνιες ανεπιθύμητης αλληλογραφίας Rescoms άλλαξαν δραματικά αυτά τα στατιστικά στοιχεία το δεύτερο εξάμηνο του έτους. Όπως φαίνεται στην Εικόνα 3, το κακόβουλο λογισμικό γεμάτο AceCryptor επηρέασε κυρίως τις ευρωπαϊκές χώρες. Με διαφορά η χώρα που έχει πληγεί περισσότερο είναι η Πολωνία, όπου η ESET απέτρεψε περισσότερες από 26,000 επιθέσεις. Ακολουθούν η Ουκρανία, η Ισπανία και η Σερβία. Και, αξίζει να αναφέρουμε ότι σε καθεμία από αυτές τις χώρες τα προϊόντα της ESET απέτρεψαν περισσότερες επιθέσεις από ό,τι στη χώρα που επλήγη περισσότερο το πρώτο εξάμηνο του 1, το Περού.
Τα δείγματα AceCryptor που έχουμε παρατηρήσει στο H2 συχνά περιείχαν δύο οικογένειες κακόβουλου λογισμικού ως ωφέλιμο φορτίο: Rescoms και SmokeLoader. Αιχμή στην Ουκρανία προκάλεσε το SmokeLoader. Το γεγονός αυτό αναφέρθηκε ήδη από το NSDC της Ουκρανίας. Από την άλλη πλευρά, στην Πολωνία, τη Σλοβακία, τη Βουλγαρία και τη Σερβία η αυξημένη δραστηριότητα προκλήθηκε από το AceCryptor που περιείχε Rescoms ως τελικό ωφέλιμο φορτίο.
Rescoms καμπάνιες
Το πρώτο εξάμηνο του 2023, είδαμε στην τηλεμετρία μας λιγότερα από εκατό περιστατικά δειγμάτων AceCryptor με Rescoms μέσα. Κατά το δεύτερο εξάμηνο του έτους, το Rescoms έγινε η πιο διαδεδομένη οικογένεια κακόβουλου λογισμικού που συσκευάστηκε από την AceCryptor, με πάνω από 32,000 επισκέψεις. Πάνω από τις μισές από αυτές τις προσπάθειες έγιναν στην Πολωνία, ακολουθούμενη από τη Σερβία, την Ισπανία, τη Βουλγαρία και τη Σλοβακία (Εικόνα 4).
Εκστρατείες στην Πολωνία
Χάρη στην τηλεμετρία της ESET μπορέσαμε να παρατηρήσουμε οκτώ σημαντικές καμπάνιες ανεπιθύμητης αλληλογραφίας που στοχεύουν την Πολωνία το δεύτερο εξάμηνο του 2. Όπως φαίνεται στο Σχήμα 2023, η πλειονότητα τους έγινε τον Σεπτέμβριο, αλλά υπήρξαν και καμπάνιες τον Αύγουστο και τον Δεκέμβριο.
Συνολικά, η ESET κατέγραψε περισσότερες από 26,000 από αυτές τις επιθέσεις στην Πολωνία για αυτήν την περίοδο. Όλες οι καμπάνιες ανεπιθύμητης αλληλογραφίας στόχευαν επιχειρήσεις στην Πολωνία και όλα τα μηνύματα ηλεκτρονικού ταχυδρομείου είχαν παρόμοια θέματα σχετικά με τις προσφορές B2B για τις εταιρείες-θύματα. Για να φαίνονται όσο το δυνατόν πιο πιστευτοί, οι εισβολείς ενσωμάτωσαν τα ακόλουθα κόλπα στα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου:
- Διευθύνσεις email που έστελναν spam email από μιμούμενους τομείς άλλων εταιρειών. Οι επιτιθέμενοι χρησιμοποίησαν διαφορετικό TLD, άλλαξαν ένα γράμμα σε ένα όνομα εταιρείας ή τη σειρά λέξεων στην περίπτωση ενός ονόματος εταιρείας πολλών λέξεων (αυτή η τεχνική είναι γνωστή ως typosquatting).
- Το πιο αξιοσημείωτο είναι ότι εμπλέκονται πολλές καμπάνιες επιχειρηματικό ηλεκτρονικό συμβιβασμό – οι εισβολείς έκαναν κατάχρηση λογαριασμών email άλλων εργαζομένων της εταιρείας που είχαν παραβιαστεί στο παρελθόν για να στείλουν ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου. Με αυτόν τον τρόπο, ακόμα κι αν το πιθανό θύμα έψαχνε για τις συνηθισμένες κόκκινες σημαίες, απλώς δεν ήταν εκεί και το email φαινόταν όσο πιο νόμιμο θα μπορούσε να έχει.
Οι επιτιθέμενοι έκαναν την έρευνά τους και χρησιμοποίησαν υπάρχοντα ονόματα εταιρειών της Πολωνίας, ακόμη και υπάρχοντα ονόματα υπαλλήλων/ιδιοκτητών και στοιχεία επικοινωνίας κατά την υπογραφή αυτών των email. Αυτό έγινε έτσι ώστε στην περίπτωση που ένα θύμα προσπαθήσει να κάνει Google το όνομα του αποστολέα, η αναζήτηση θα ήταν επιτυχής, κάτι που μπορεί να το οδηγήσει στο άνοιγμα του κακόβουλου συνημμένου.
- Το περιεχόμενο των ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου ήταν σε ορισμένες περιπτώσεις απλούστερο αλλά σε πολλές περιπτώσεις (όπως το παράδειγμα στο Σχήμα 6) αρκετά περίτεχνο. Ειδικά αυτές οι πιο περίτεχνες εκδόσεις θα πρέπει να θεωρούνται επικίνδυνες καθώς αποκλίνουν από το τυπικό μοτίβο του γενικού κειμένου, το οποίο συχνά είναι γεμάτο με γραμματικά λάθη.
Το email που φαίνεται στην Εικόνα 6 περιέχει ένα μήνυμα ακολουθούμενο από πληροφορίες σχετικά με την επεξεργασία προσωπικών πληροφοριών που πραγματοποιείται από τον υποτιθέμενο αποστολέα και τη δυνατότητα «πρόσβασης στο περιεχόμενο των δεδομένων σας και το δικαίωμα διόρθωσης, διαγραφής, περιορισμού περιορισμών επεξεργασίας, δικαίωμα μεταφοράς δεδομένων , δικαίωμα υποβολής ένστασης και δικαίωμα υποβολής καταγγελίας στην εποπτική αρχή». Το ίδιο το μήνυμα μπορεί να μεταφραστεί ως εξής:
Αγαπητέ Κύριε,
Είμαι ο Sylwester [διασκευάστηκε] από το [redacted]. Η εταιρεία σας μας συστήθηκε από έναν επιχειρηματικό συνεργάτη. Παρακαλούμε αναφέρετε τη συνημμένη λίστα παραγγελιών. Ενημερώστε μας και για τους όρους πληρωμής.
Αναμένουμε την απάντησή σας και περαιτέρω συζήτηση.
-
Best Regards,
Τα συνημμένα σε όλες τις καμπάνιες έμοιαζαν αρκετά (Εικόνα 7). Τα μηνύματα ηλεκτρονικού ταχυδρομείου περιείχαν ένα συνημμένο αρχείο ή αρχείο ISO με το όνομα προσφορά/ερώτημα (φυσικά στα πολωνικά), σε ορισμένες περιπτώσεις συνοδευόμενο επίσης από έναν αριθμό παραγγελίας. Αυτό το αρχείο περιείχε ένα εκτελέσιμο AceCryptor που αποσυσκευάζει και εκκίνησε το Rescoms.
Με βάση τη συμπεριφορά του κακόβουλου λογισμικού, υποθέτουμε ότι ο στόχος αυτών των καμπανιών ήταν να αποκτήσουν διαπιστευτήρια ηλεκτρονικού ταχυδρομείου και προγράμματος περιήγησης, και έτσι να αποκτήσουν αρχική πρόσβαση στις στοχευμένες εταιρείες. Ενώ είναι άγνωστο εάν τα διαπιστευτήρια συγκεντρώθηκαν για την ομάδα που πραγματοποίησε αυτές τις επιθέσεις ή εάν αυτά τα κλεμμένα διαπιστευτήρια θα πωλούνταν αργότερα σε άλλους παράγοντες απειλών, είναι βέβαιο ότι ο επιτυχημένος συμβιβασμός ανοίγει τη δυνατότητα για περαιτέρω επιθέσεις, ειδικά από, επί του παρόντος δημοφιλείς, επιθέσεις ransomware.
Είναι σημαντικό να δηλωθεί ότι το Rescoms RAT μπορεί να αγοραστεί. Έτσι πολλοί παράγοντες απειλών το χρησιμοποιούν στις δραστηριότητές τους. Αυτές οι καμπάνιες δεν συνδέονται μόνο με την ομοιότητα στόχων, τη δομή των συνημμένων, το κείμενο email ή τα κόλπα και τις τεχνικές που χρησιμοποιούνται για την εξαπάτηση των πιθανών θυμάτων, αλλά και με ορισμένες λιγότερο προφανείς ιδιότητες. Στο ίδιο το κακόβουλο λογισμικό, μπορέσαμε να βρούμε τεχνουργήματα (π.χ. το αναγνωριστικό άδειας χρήσης για Rescoms) που συνδέουν αυτές τις καμπάνιες μεταξύ τους, αποκαλύπτοντας ότι πολλές από αυτές τις επιθέσεις πραγματοποιήθηκαν από έναν παράγοντα απειλής.
Εκστρατείες στη Σλοβακία, τη Βουλγαρία και τη Σερβία
Κατά τις ίδιες χρονικές περιόδους με τις εκστρατείες στην Πολωνία, η τηλεμετρία της ESET κατέγραψε επίσης καμπάνιες σε εξέλιξη στη Σλοβακία, τη Βουλγαρία και τη Σερβία. Αυτές οι καμπάνιες στόχευαν επίσης κυρίως τοπικές εταιρείες και μπορούμε να βρούμε ακόμη και τεχνουργήματα στο ίδιο το κακόβουλο λογισμικό που συνδέουν αυτές τις καμπάνιες με τον ίδιο παράγοντα απειλής που πραγματοποίησε τις καμπάνιες στην Πολωνία. Το μόνο σημαντικό πράγμα που άλλαξε ήταν, φυσικά, η γλώσσα που χρησιμοποιήθηκε στα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου να είναι κατάλληλη για αυτές τις συγκεκριμένες χώρες.
Εκστρατείες στην Ισπανία
Εκτός από τις καμπάνιες που αναφέρθηκαν προηγουμένως, η Ισπανία γνώρισε επίσης ένα κύμα ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου με το Rescoms ως τελικό ωφέλιμο φορτίο. Παρόλο που μπορούμε να επιβεβαιώσουμε ότι τουλάχιστον μία από τις εκστρατείες πραγματοποιήθηκε από τον ίδιο παράγοντα απειλής όπως σε αυτές τις προηγούμενες περιπτώσεις, άλλες εκστρατείες ακολούθησαν κάπως διαφορετικό μοτίβο. Επιπλέον, ακόμη και αντικείμενα που ήταν τα ίδια σε προηγούμενες περιπτώσεις διέφεραν σε αυτές και, λόγω αυτού, δεν μπορούμε να συμπεράνουμε ότι οι εκστρατείες στην Ισπανία προέρχονταν από το ίδιο μέρος.
Συμπέρασμα
Κατά το δεύτερο εξάμηνο του 2023, εντοπίσαμε μια αλλαγή στη χρήση του AceCryptor – ενός δημοφιλούς κρυπτογράφου που χρησιμοποιείται από πολλούς παράγοντες απειλών για τη συσκευασία πολλών οικογενειών κακόβουλου λογισμικού. Παρόλο που ο επιπολασμός ορισμένων οικογενειών κακόβουλου λογισμικού όπως το RedLine Stealer μειώθηκε, άλλοι παράγοντες απειλών άρχισαν να το χρησιμοποιούν ή το χρησιμοποίησαν ακόμη περισσότερο για τις δραστηριότητές τους και το AceCryptor εξακολουθεί να είναι ισχυρό. Σε αυτές τις καμπάνιες το AceCryptor χρησιμοποιήθηκε για να στοχεύσει πολλές ευρωπαϊκές χώρες και να εξάγει πληροφορίες ή αποκτήστε αρχική πρόσβαση σε πολλές εταιρείες. Το κακόβουλο λογισμικό σε αυτές τις επιθέσεις διανεμήθηκε σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία σε ορισμένες περιπτώσεις ήταν αρκετά πειστικά. Μερικές φορές το spam στάλθηκε ακόμη και από νόμιμους, αλλά κατάχρηση λογαριασμούς email. Επειδή το άνοιγμα συνημμένων από τέτοια μηνύματα ηλεκτρονικού ταχυδρομείου μπορεί να έχει σοβαρές συνέπειες για εσάς ή την εταιρεία σας, σας συμβουλεύουμε να γνωρίζετε τι ανοίγετε και να χρησιμοποιείτε αξιόπιστο λογισμικό ασφαλείας τελικού σημείου ικανό να ανιχνεύει το κακόβουλο λογισμικό.
Για οποιαδήποτε απορία σχετικά με την έρευνά μας που δημοσιεύτηκε στο WeLiveSecurity, επικοινωνήστε μαζί μας στο απειλητικό@eset.com.
Η ESET Research προσφέρει ιδιωτικές αναφορές πληροφοριών APT και ροές δεδομένων. Για οποιαδήποτε απορία σχετικά με αυτήν την υπηρεσία, επισκεφθείτε τη διεύθυνση ESET Threat Intelligence .
IoC
Μια περιεκτική λίστα δεικτών συμβιβασμού (IoC) βρίσκεται στο μας Αποθετήριο GitHub.
Αρχεία
SHA-1 |
Όνομα |
Ανίχνευση |
Περιγραφή |
7D99E7AD21B54F07E857 |
PR18213.iso |
Win32/Kryptik.HVOB |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Σερβία τον Δεκέμβριο του 2023. |
7DB6780A1E09AEC6146E |
zapytanie.7z |
Win32/Kryptik.HUNX |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Σεπτέμβριο του 2023. |
7ED3EFDA8FC446182792 |
20230904104100858.7z |
Win32/Kryptik.HUMX |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία και τη Βουλγαρία τον Σεπτέμβριο του 2023. |
9A6C731E96572399B236 |
20230904114635180.iso |
Win32/Kryptik.HUMX |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Σερβία τον Σεπτέμβριο του 2023. |
57E4EB244F3450854E5B |
SA092300102.iso |
Win32/Kryptik.HUPK |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Βουλγαρία τον Σεπτέμβριο του 2023. |
178C054C5370E0DC9DF8 |
zamowienie_135200.7z |
Win32/Kryptik.HUMI |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Αύγουστο του 2023. |
394CFA4150E7D47BBDA1 |
PRV23_8401.iso |
Win32/Kryptik.HUMF |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Σερβία τον Αύγουστο του 2023. |
3734BC2D9C321604FEA1 |
BP_50C55_20230 |
Win32/Kryptik.HUMF |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Βουλγαρία τον Αύγουστο του 2023. |
71076BD712C2E3BC8CA5 |
20_J402_MRO_EMS |
Win32/Rescoms.B |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Σλοβακία τον Αύγουστο του 2023. |
667133FEBA54801B0881 |
7360_37763.iso |
Win32/Rescoms.B |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Βουλγαρία τον Δεκέμβριο του 2023. |
AF021E767E68F6CE1D20 |
zapytanie ofertowe.7z |
Win32/Kryptik.HUQF |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Σεπτέμβριο του 2023. |
BB6A9FB0C5DA4972EFAB |
129550.7z |
Win32/Kryptik.HUNC |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Σεπτέμβριο του 2023. |
D2FF84892F3A4E4436BE |
Zamowienie_ andre.7z |
Win32/Kryptik.HUOZ |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Σεπτέμβριο του 2023. |
DB87AA88F358D9517EEB |
20030703_S1002.iso |
Win32/Kryptik.HUNI |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στη Σερβία τον Σεπτέμβριο του 2023. |
EF2106A0A40BB5C1A74A |
Zamowienie_830.iso |
Win32/Kryptik.HVOB |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Δεκέμβριο του 2023. |
FAD97EC6447A699179B0 |
lista zamówień i szczegółowe zdjęcia.arj |
Win32/Kryptik.HUPK |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Πολωνία τον Σεπτέμβριο του 2023. |
FB8F64D2FEC152D2D135 |
Pedido.iso |
Win32/Kryptik.HUMF |
Κακόβουλο συνημμένο από καμπάνια ανεπιθύμητης αλληλογραφίας που πραγματοποιήθηκε στην Ισπανία τον Αύγουστο του 2023. |
Τεχνικές MITER ATT & CK
Αυτός ο πίνακας κατασκευάστηκε χρησιμοποιώντας έκδοση 14 του πλαισίου MITER ATT & CK.
Τακτική |
ID |
Όνομα |
Περιγραφή |
Αναγνώριση |
Συλλέξτε πληροφορίες ταυτότητας θυμάτων: Διευθύνσεις ηλεκτρονικού ταχυδρομείου |
Οι διευθύνσεις ηλεκτρονικού ταχυδρομείου και τα στοιχεία επικοινωνίας (είτε αγοράστηκαν είτε συγκεντρώθηκαν από δημοσίως διαθέσιμες πηγές) χρησιμοποιήθηκαν σε καμπάνιες ηλεκτρονικού ψαρέματος για τη στόχευση εταιρειών σε πολλές χώρες. |
|
Ανάπτυξη πόρων |
Συμβιβαστικοί λογαριασμοί: Λογαριασμοί ηλεκτρονικού ταχυδρομείου |
Οι εισβολείς χρησιμοποίησαν παραβιασμένους λογαριασμούς email για να στείλουν μηνύματα ηλεκτρονικού ψαρέματος σε καμπάνιες ανεπιθύμητης αλληλογραφίας για να αυξήσουν την αξιοπιστία των ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου. |
|
Απόκτηση δυνατοτήτων: Κακόβουλο λογισμικό |
Οι επιτιθέμενοι αγόρασαν και χρησιμοποίησαν το AceCryptor και το Rescoms για καμπάνιες phishing. |
||
Αρχική πρόσβαση |
Phishing |
Οι επιτιθέμενοι χρησιμοποίησαν μηνύματα ηλεκτρονικού ψαρέματος με κακόβουλα συνημμένα για να παραβιάσουν υπολογιστές και να κλέψουν πληροφορίες από εταιρείες σε πολλές ευρωπαϊκές χώρες. |
|
Phishing: Συνημμένο ψαρέματος |
Οι επιτιθέμενοι χρησιμοποίησαν μηνύματα ψαρέματος (spearphishing) για να παραβιάσουν υπολογιστές και να κλέψουν πληροφορίες από εταιρείες σε πολλές ευρωπαϊκές χώρες. |
||
Εκτέλεση |
Εκτέλεση χρήστη: Κακόβουλο αρχείο |
Οι επιτιθέμενοι βασίζονταν στο ότι οι χρήστες άνοιγαν και εκτόξευαν κακόβουλα αρχεία με κακόβουλο λογισμικό συσκευασμένο από το AceCryptor. |
|
Πρόσβαση διαπιστευτηρίων |
Διαπιστευτήρια από καταστήματα κωδικών πρόσβασης: Διαπιστευτήρια από προγράμματα περιήγησης Ιστού |
Οι επιτιθέμενοι προσπάθησαν να κλέψουν στοιχεία διαπιστευτηρίων από προγράμματα περιήγησης και προγράμματα-πελάτες ηλεκτρονικού ταχυδρομείου. |
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/
- :είναι
- :δεν
- :που
- 000
- 1
- 13
- 14
- 17
- 2016
- 2023
- 23
- 26%
- 32
- 36
- 7
- 700
- 8
- 9
- a
- Ικανός
- Σχετικα
- κατάχρηση
- πρόσβαση
- συνοδεύεται
- Σύμφωνα με
- Λογαριασμοί
- απέναντι
- δραστηριοτήτων
- δραστηριότητα
- φορείς
- διευθύνσεις
- συμβουλεύουν
- επηρεαστούν
- Μετά το
- Όλα
- υποτιθεμένος
- σχεδόν
- ήδη
- Επίσης
- am
- an
- και
- Andre
- Άλλος
- κάθε
- χώρια
- APT
- Αρχείο
- ΕΙΝΑΙ
- γύρω
- AS
- υποθέτω
- At
- Επιθέσεις
- Προσπάθειες
- Αύγουστος
- διαθέσιμος
- μέσος
- επίγνωση
- B2B
- βασίζονται
- BE
- έγινε
- επειδή
- ήταν
- συμπεριφορά
- πίσω
- μπλοκαριστεί
- αγόρασε
- πρόγραμμα περιήγησης
- browsers
- χτισμένο
- Bulgaria
- επιχείρηση
- επιχειρήσεις
- αλλά
- by
- Caas
- Εκστρατεία
- Καμπάνιες
- CAN
- δεν μπορώ
- δυνατότητες
- που
- περίπτωση
- περιπτώσεις
- προκαλούνται
- ορισμένες
- αλυσίδα
- αλλαγή
- άλλαξε
- Αλλαγές
- επιλογή
- πελάτες
- πιο κοντά
- COM
- συνδυασμός
- Εταιρείες
- εταίρα
- συγκρίνουν
- σύγκριση
- καταγγελία
- περιεκτικός
- συμβιβασμός
- Συμβιβασμένος
- υπολογιστές
- καταλήγω
- Επιβεβαιώνω
- συνδεδεμένος
- Συνέπειες
- θεωρούνται
- επικοινωνήστε μαζί μας
- που περιέχονται
- Περιέχει
- περιεχόμενο
- συνέχισε
- αντίθετος
- θα μπορούσε να
- χώρες
- χώρα
- Πορεία
- ΠΙΣΤΟΠΟΙΗΤΙΚΟ
- Διαπιστεύσεις
- Αξιοπιστία
- αξιόπιστος
- Τη στιγμή
- καθημερινά
- Επικίνδυνες
- ημερομηνία
- Δεκέμβριος
- Απόρριψη
- μείωση
- ανίχνευση
- εντοπιστεί
- παρεκκλίνω
- DID
- διαφορετικές
- συζήτηση
- συζήτηση
- διανέμονται
- domains
- γίνεται
- διπλασιαστεί
- δραματικά
- έπεσε
- δυο
- κατά την διάρκεια
- e
- κάθε
- Αίγυπτος
- οκτώ
- είτε
- Λεπτομερής
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- υπαλλήλους
- Τελικό σημείο
- Ασφάλεια τελικού σημείου
- ειδικά
- ευρωπαϊκός
- ΕΥΡΩΠΑΙΚΕΣ ΧΩΡΕΣ
- Even
- παράδειγμα
- εκτέλεση
- υφιστάμενα
- έμπειρος
- εξήγηση
- εκχύλισμα
- γεγονός
- οικογένειες
- οικογένεια
- μακριά
- λιγότερα
- Εικόνα
- Αρχεία
- Αρχεία
- τελικός
- Εύρεση
- Όνομα
- σημαίες
- ακολουθείται
- Εξής
- Για
- Προς τα εμπρός
- Βρέθηκαν
- Πλαίσιο
- από
- περαιτέρω
- Επί πλέον
- Κέρδος
- συγκεντρώθηκαν
- γκολ
- μετάβαση
- μεγαλύτερη
- μεγαλύτερη
- Group
- είχε
- Ήμισυ
- χέρι
- συμβαίνω
- συνέβη
- Έχω
- Επισκέψεις
- Πως
- HTTPS
- εκατό
- i
- ID
- Ταυτότητα
- if
- εικόνα
- σημαντικό
- in
- Συμπεριλαμβανομένου
- Συσσωματωμένος
- Αυξάνουν
- αυξημένη
- αύξηση
- ενδείξεις
- δείκτες
- πληροφορώ
- πληροφορίες
- αρχικός
- Ερωτήσεις
- μέσα
- Νοημοσύνη
- σε
- συμμετέχουν
- ISO
- IT
- εαυτό
- jpeg
- μόλις
- τήρηση
- γνωστός
- Γλώσσα
- αργότερα
- ξεκίνησε
- δρομολόγηση
- οδηγήσει
- ελάχιστα
- νόμιμος
- μείον
- επιστολή
- Άδεια
- Μου αρέσει
- LIMIT
- γραμμές
- Λιστα
- τοπικός
- ματιά
- κοίταξε
- Χαμηλός
- κυρίως
- Η πλειοψηφία
- κάνω
- κακόβουλο
- malware
- πολοί
- μαζική
- που αναφέρθηκαν
- αναφέροντας
- μήνυμα
- μηνύματα
- Μεξικό
- ενδέχεται να
- λάθη
- περισσότερο
- πλέον
- Δημοφιλέστερα
- ως επί το πλείστον
- κίνηση
- κινητός μέσος όρος
- πολύ
- πολλαπλούς
- όνομα
- Ονομάστηκε
- ονόματα
- ποτέ
- αξιοσημείωτος
- αριθμός
- παρατηρούμε
- αποκτήσει
- Εμφανή
- of
- προσφορές
- συχνά
- on
- ONE
- συνεχή
- αποκλειστικά
- ανοίξτε
- άνοιγμα
- ανοίγει
- λειτουργίας
- λειτουργίες
- or
- τάξη
- προέκυψε
- ΑΛΛΑ
- δικός μας
- έξω
- επί
- Πακέτο
- συσκευασμένα
- σελίδα
- Ειδικότερα
- εταίρος
- Κωδικός Πρόσβασης
- πρότυπο
- πληρωμή
- People
- περίοδος
- έμμηνα
- προσωπικός
- Περού
- Phishing
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- σας παρακαλούμε
- σημεία
- Poland
- Πολωνικά
- Δημοφιλής
- δυνατότητες
- δυνατότητα
- δυνατός
- δυναμικού
- επικράτηση
- επικρατών
- εμπόδισε
- προηγούμενος
- προηγουμένως
- ιδιωτικός
- μεταποίηση
- Προϊόντα
- διακεκριμένος
- ιδιότητες
- προστατεύονται
- παρέχουν
- δημοσίως
- δημοσιεύθηκε
- αρκετά
- παραθέτω
- αύξηση
- ransomware
- Επιθέσεις Ransomware
- ΑΡΟΥΡΑΙΟΣ
- Ακατέργαστος
- λόγος
- λογικός
- συνιστάται
- Red
- Κόκκινες σημαίες
- αναθεωρημένο
- αφορά
- καταχωρηθεί
- αξιόπιστος
- Εκθέσεις
- έρευνα
- απάντησης
- περιορισμούς
- με αποτέλεσμα
- αποκαλύπτοντας
- διατρυπημένο
- βόλτες
- δεξιά
- s
- ίδιο
- πριόνι
- Αναζήτηση
- Δεύτερος
- ασφάλεια
- δει
- στείλετε
- αποστέλλει
- αποστολή
- αποστέλλονται
- Σεπτέμβριος
- Σερβία
- υπηρεσία
- Υπηρεσίες
- αυστηρός
- αλλαγή
- θα πρέπει να
- δείχνουν
- επίδειξη
- παρουσιάζεται
- σημαντικός
- σημαντικά
- υπογραφή
- παρόμοιες
- απλούστερη
- αφού
- Από 2016
- Κύριε
- So
- λογισμικό
- πωλούνται
- μερικοί
- μερικές φορές
- κάπως
- Πηγές
- Ισπανία
- το spam
- συγκεκριμένες
- ακίδα
- αιχμές
- Διάδοση
- πρότυπο
- ξεκίνησε
- Κατάσταση
- στατιστική
- Ακόμη
- κλαπεί
- στάση
- σταμάτησε
- αποθηκεύονται
- καταστήματα
- ισχυρός
- δομή
- θέμα
- επιτυχής
- τέτοιος
- αιφνίδιος
- κατάλληλος
- ανακύπτει
- τραπέζι
- στόχος
- στοχευμένες
- στόχευση
- στόχους
- τεχνική
- τεχνικές
- δεκάδες
- όροι
- κείμενο
- από
- ότι
- Η
- τους
- Τους
- Εκεί.
- Αυτοί
- αυτοί
- πράγμα
- αυτό
- εκείνοι
- αν και?
- απειλή
- απειλή
- Ετσι
- ΓΡΑΒΑΤΑ
- ώρα
- χρονοδιάγραμμα
- προς την
- μαζι
- Σύνολο
- μεταφορά
- Τάσεις
- Προσπάθησα
- τριπλασιασμός
- Türkiye
- δύο
- Ukraine
- Ουκρανία
- Απροσδόκητος
- μοναδικός
- άγνωστος
- us
- Χρήση
- χρήση
- μεταχειρισμένος
- Χρήστες
- χρησιμοποιώντας
- συνήθης
- Σταθερή
- εκδόσεις
- πολύ
- Θύμα
- θύματα
- Επίσκεψη
- ήταν
- κύματα
- Τρόπος..
- we
- ιστός
- ΛΟΙΠΌΝ
- πολύ γνωστό
- ήταν
- Τι
- πότε
- αν
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- του οποίου
- πλάτος
- Άγριος
- με
- χωρίς
- λέξη
- παγκόσμιος
- αξία
- θα
- έτος
- Εσείς
- Σας
- zephyrnet