Rescoms AceCryptor स्पैम की लहरों पर सवार है

पिछले साल ESET ने एक प्रकाशित किया था AceCryptor के बारे में ब्लॉगपोस्ट - 2016 से संचालित सबसे लोकप्रिय और प्रचलित क्रिप्टोर्स-ए-ए-सर्विस (CaaS) में से एक। H1 2023 के लिए हमने प्रकाशित किया हमारे टेलीमेट्री के आँकड़े, जिसके अनुसार पिछली अवधि के रुझान बिना किसी बड़े बदलाव के जारी रहे।

हालाँकि, H2 2023 में हमने AceCryptor के उपयोग के तरीके में एक महत्वपूर्ण बदलाव दर्ज किया। न केवल हमने H2 2023 की तुलना में H1 2023 में दोगुने से अधिक हमलों को देखा और रोका है, बल्कि हमने यह भी देखा है कि Rescoms (जिसे रेमकोस के नाम से भी जाना जाता है) ने AceCryptor का उपयोग करना शुरू कर दिया है, जो पहले से मामला नहीं था।

AceCryptor-पैक्ड Rescoms RAT नमूनों के विशाल बहुमत का उपयोग पोलैंड, स्लोवाकिया, बुल्गारिया और सर्बिया सहित यूरोपीय देशों को लक्षित करने वाले कई स्पैम अभियानों में प्रारंभिक समझौता वेक्टर के रूप में किया गया था।

इस ब्लॉगपोस्ट के मुख्य बिंदु:

• AceCryptor ने H2 2023 में दसियों बहुत प्रसिद्ध मैलवेयर परिवारों को पैकिंग सेवाएँ प्रदान करना जारी रखा।
• सुरक्षा उत्पादों द्वारा अच्छी तरह से ज्ञात होने के बावजूद, AceCryptor की व्यापकता में गिरावट के संकेत नहीं दिख रहे हैं: इसके विपरीत, Rescoms अभियानों के कारण हमलों की संख्या में काफी वृद्धि हुई है।
• AceCryptor विशिष्ट देशों और लक्ष्यों (उदाहरण के लिए, किसी विशेष देश की कंपनियों) को लक्षित करने वाले ख़तरनाक अभिनेताओं की पसंद का क्रिप्टोकरंसी है।
• H2 2023 में, ESET ने यूरोपीय देशों, मुख्य रूप से पोलैंड, बुल्गारिया, स्पेन और सर्बिया में कई AceCryptor+Rescoms अभियानों का पता लगाया।
• कुछ मामलों में उन अभियानों के पीछे धमकी देने वाले अभिनेता ने स्पैम ईमेल भेजने के लिए समझौता किए गए खातों का दुरुपयोग किया ताकि उन्हें यथासंभव विश्वसनीय बनाया जा सके।
• स्पैम अभियानों का लक्ष्य ब्राउज़र या ईमेल क्लाइंट में संग्रहीत क्रेडेंशियल प्राप्त करना था, जो सफल समझौते की स्थिति में आगे के हमलों की संभावनाएं खोल देगा।

H2 2023 में AceCryptor

2023 की पहली छमाही में ESET ने लगभग 13,000 उपयोगकर्ताओं को AceCryptor-पैक मैलवेयर से बचाया। वर्ष की दूसरी छमाही में, जंगल में फैलने वाले AceCryptor-पैक मैलवेयर की भारी वृद्धि हुई, हमारी पहचान तीन गुना हो गई, जिसके परिणामस्वरूप दुनिया भर में 42,000 से अधिक संरक्षित ESET उपयोगकर्ता हो गए। जैसा कि चित्र 1 में देखा जा सकता है, हमने मैलवेयर फैलने की कई अचानक तरंगों का पता लगाया। ये स्पाइक्स यूरोपीय देशों पर लक्षित कई स्पैम अभियान दिखाते हैं जहां AceCryptor ने एक Rescoms RAT पैक किया है (इसमें अधिक चर्चा की गई है) Rescoms अभियान अनुभाग)।

इसके अलावा, जब हम नमूनों की कच्ची संख्या की तुलना करते हैं: 2023 की पहली छमाही में, ESET ने AceCryptor के 23,000 से अधिक अद्वितीय दुर्भावनापूर्ण नमूनों का पता लगाया; 2023 की दूसरी छमाही में, हमने 17,000 से अधिक अद्वितीय नमूनों को "केवल" देखा और पता लगाया। भले ही यह अप्रत्याशित हो, डेटा पर बारीकी से नज़र डालने के बाद एक उचित स्पष्टीकरण मिलता है। Rescoms स्पैम अभियानों ने बड़ी संख्या में उपयोगकर्ताओं को भेजे गए ईमेल अभियानों में समान दुर्भावनापूर्ण फ़ाइल(फ़ाइलों) का उपयोग किया, इस प्रकार मैलवेयर का सामना करने वाले लोगों की संख्या में वृद्धि हुई, लेकिन फिर भी विभिन्न फ़ाइलों की संख्या कम रही। पिछली अवधि में ऐसा नहीं हुआ था क्योंकि Rescoms का उपयोग AceCryptor के साथ संयोजन में लगभग कभी नहीं किया गया था। अद्वितीय नमूनों की संख्या में कमी का एक अन्य कारण यह है कि कुछ लोकप्रिय परिवारों ने स्पष्ट रूप से AceCryptor को CaaS के रूप में उपयोग करना बंद कर दिया (या लगभग बंद कर दिया)। एक उदाहरण डैनाबोट मैलवेयर है जिसने AceCryptor का उपयोग बंद कर दिया है; इसके अलावा, प्रमुख रेडलाइन स्टीलर जिसके उपयोगकर्ताओं ने उस मैलवेयर वाले AceCryptor नमूनों में 60% से अधिक की कमी के आधार पर AceCryptor का उपयोग करना बंद कर दिया।

जैसा कि चित्र 2 में देखा गया है, AceCryptor अभी भी, Rescoms के अलावा, कई अलग-अलग मैलवेयर परिवारों से नमूने वितरित करता है, जैसे कि स्मोकलोडर, STOP रैनसमवेयर और विडार स्टीलर।

2023 की पहली छमाही में, AceCryptor द्वारा पैक किए गए मैलवेयर से सबसे अधिक प्रभावित देश पेरू, मैक्सिको, मिस्र और तुर्किये थे, जहां पेरू में 4,700 की संख्या में सबसे अधिक हमले हुए थे। रेज़कॉम के स्पैम अभियानों ने वर्ष की दूसरी छमाही में इन आँकड़ों को नाटकीय रूप से बदल दिया। जैसा कि चित्र 3 में देखा जा सकता है, AceCryptor-पैक मैलवेयर ने ज्यादातर यूरोपीय देशों को प्रभावित किया है। अब तक सबसे अधिक प्रभावित देश पोलैंड है, जहां ईएसईटी ने 26,000 से अधिक हमलों को रोका; इसके बाद यूक्रेन, स्पेन और सर्बिया का स्थान है। और, यह उल्लेखनीय है कि उनमें से प्रत्येक देश में ईएसईटी उत्पादों ने 1 की पहली छमाही में सबसे अधिक प्रभावित देश पेरू की तुलना में अधिक हमलों को रोका।

AceCryptor के नमूने जो हमने H2 में देखे हैं उनमें अक्सर पेलोड के रूप में दो मैलवेयर परिवार शामिल होते हैं: Rescoms और स्मोकलोडर। यूक्रेन में स्पाइक स्मोक लोडर के कारण हुआ था। इस तथ्य का उल्लेख पहले ही किया जा चुका है यूक्रेन के एनएसडीसी द्वारा. दूसरी ओर, पोलैंड, स्लोवाकिया, बुल्गारिया और सर्बिया में बढ़ी हुई गतिविधि AceCryptor के कारण हुई जिसमें अंतिम पेलोड के रूप में Rescoms शामिल था।

Rescoms अभियान

2023 की पहली छमाही में, हमने अपने टेलीमेट्री में रेसकॉम्स के साथ ऐसक्रिप्टर नमूनों की सौ से भी कम घटनाएं देखीं। वर्ष की दूसरी छमाही के दौरान, 32,000 से अधिक हिट के साथ, Rescoms AceCryptor द्वारा पैक किया गया सबसे प्रचलित मैलवेयर परिवार बन गया। इनमें से आधे से अधिक प्रयास पोलैंड में हुए, उसके बाद सर्बिया, स्पेन, बुल्गारिया और स्लोवाकिया में हुए (चित्र 4)।

पोलैंड में अभियान

ईएसईटी टेलीमेट्री की बदौलत हम 2 की दूसरी छमाही में पोलैंड को लक्षित करने वाले आठ महत्वपूर्ण स्पैम अभियान देखने में सक्षम हुए हैं। जैसा कि चित्र 2023 में देखा जा सकता है, उनमें से अधिकांश सितंबर में हुए, लेकिन अगस्त और दिसंबर में भी अभियान थे।

कुल मिलाकर, ईएसईटी ने इस अवधि के दौरान पोलैंड में 26,000 से अधिक हमले दर्ज किए। सभी स्पैम अभियानों ने पोलैंड में व्यवसायों को लक्षित किया और सभी ईमेल में पीड़ित कंपनियों के लिए बी2बी ऑफ़र के बारे में बहुत समान विषय पंक्तियाँ थीं। यथासंभव विश्वसनीय दिखने के लिए, हमलावरों ने स्पैम ईमेल में निम्नलिखित तरकीबें शामिल कीं:

• ईमेल पते पर वे अन्य कंपनियों के नकली डोमेन से स्पैम ईमेल भेज रहे थे। हमलावरों ने एक अलग टीएलडी का उपयोग किया, कंपनी के नाम में एक अक्षर या बहु-शब्द कंपनी के नाम के मामले में शब्द क्रम बदल दिया (इस तकनीक को टाइपोसक्वाटिंग के रूप में जाना जाता है)।
• सबसे उल्लेखनीय बात यह है कि इसमें कई अभियान शामिल हैं व्यापार ईमेल समझौता - हमलावरों ने स्पैम ईमेल भेजने के लिए कंपनी के अन्य कर्मचारियों के पहले से समझौता किए गए ईमेल खातों का दुरुपयोग किया। इस तरह से भले ही संभावित पीड़ित ने सामान्य लाल झंडों की तलाश की हो, लेकिन वे वहां नहीं थे, और ईमेल उतना ही वैध लग रहा था जितना हो सकता था।

हमलावरों ने अपना शोध किया और उन ईमेल पर हस्ताक्षर करते समय मौजूदा पोलिश कंपनी के नाम और यहां तक ​​कि मौजूदा कर्मचारी/मालिक के नाम और संपर्क जानकारी का उपयोग किया। ऐसा इसलिए किया गया ताकि यदि कोई पीड़ित Google पर प्रेषक का नाम खोजने का प्रयास करता है, तो खोज सफल हो जाएगी, जिससे उन्हें दुर्भावनापूर्ण अनुलग्नक खोलने में मदद मिल सकती है।

• स्पैम ईमेल की सामग्री कुछ मामलों में सरल थी लेकिन कई मामलों में (चित्र 6 में उदाहरण की तरह) काफी विस्तृत थी। विशेष रूप से इन अधिक विस्तृत संस्करणों को खतरनाक माना जाना चाहिए क्योंकि वे सामान्य पाठ के मानक पैटर्न से भटकते हैं, जो अक्सर व्याकरण संबंधी गलतियों से भरा होता है।

चित्र 6 में दिखाए गए ईमेल में कथित प्रेषक द्वारा की गई व्यक्तिगत जानकारी के प्रसंस्करण और आपके डेटा की सामग्री तक पहुंचने की संभावना और सुधार करने, हटाने, प्रसंस्करण प्रतिबंधों को सीमित करने, डेटा ट्रांसफर के अधिकार की संभावना के बारे में एक संदेश शामिल है। , आपत्ति उठाने का अधिकार, और पर्यवेक्षी प्राधिकारी के पास शिकायत दर्ज करने का अधिकार”। संदेश का अनुवाद इस प्रकार किया जा सकता है:

प्रिय महोदय,

मैं [संपादित] से सिल्वेस्टर [संपादित] हूं। एक बिजनेस पार्टनर ने हमें आपकी कंपनी की अनुशंसा की थी। कृपया संलग्न आदेश सूची उद्धृत करें। कृपया हमें भुगतान शर्तों के बारे में भी सूचित करें।

हम आपकी प्रतिक्रिया और आगे की चर्चा की प्रतीक्षा कर रहे हैं।

-

सादर,

सभी अभियानों में अनुलग्नक काफी समान दिखे (चित्र 7)। ईमेल में एक संलग्न संग्रह या आईएसओ फ़ाइल होती है जिसका नाम ऑफ़र/इंक्वायरी (निश्चित रूप से पोलिश में) होता है, कुछ मामलों में एक ऑर्डर नंबर भी होता है। उस फ़ाइल में एक AceCryptor निष्पादन योग्य था जिसे अनपैक किया गया और Rescoms लॉन्च किया गया।

मैलवेयर के व्यवहार के आधार पर, हम मानते हैं कि इन अभियानों का लक्ष्य ईमेल और ब्राउज़र क्रेडेंशियल प्राप्त करना था, और इस प्रकार लक्षित कंपनियों तक प्रारंभिक पहुंच प्राप्त करना था। हालांकि यह अज्ञात है कि क्या इन हमलों को अंजाम देने वाले समूह के लिए साख एकत्र की गई थी या क्या चोरी की गई साख बाद में अन्य खतरनाक अभिनेताओं को बेची जाएगी, यह निश्चित है कि सफल समझौता आगे के हमलों की संभावना को खोलता है, विशेष रूप से वर्तमान में लोकप्रिय, रैंसमवेयर हमले.

यह बताना महत्वपूर्ण है कि Rescoms RAT खरीदा जा सकता है; इस प्रकार कई ख़तरनाक अभिनेता अपने अभियानों में इसका उपयोग करते हैं। ये अभियान न केवल लक्ष्य समानता, अनुलग्नक संरचना, ईमेल टेक्स्ट, या संभावित पीड़ितों को धोखा देने के लिए उपयोग की जाने वाली युक्तियों और तकनीकों से जुड़े हुए हैं, बल्कि कुछ कम स्पष्ट गुणों से भी जुड़े हुए हैं। मैलवेयर में ही, हम उन कलाकृतियों (उदाहरण के लिए, रेसकॉम के लिए लाइसेंस आईडी) को ढूंढने में सक्षम थे जो उन अभियानों को एक साथ जोड़ते हैं, जिससे पता चलता है कि इनमें से कई हमले एक ही खतरे वाले अभिनेता द्वारा किए गए थे।

स्लोवाकिया, बुल्गारिया और सर्बिया में अभियान

पोलैंड में अभियानों के समान समय अवधि के दौरान, ईएसईटी टेलीमेट्री ने स्लोवाकिया, बुल्गारिया और सर्बिया में चल रहे अभियानों को भी पंजीकृत किया। इन अभियानों ने मुख्य रूप से स्थानीय कंपनियों को भी लक्षित किया और हम मैलवेयर में ऐसी कलाकृतियाँ भी पा सकते हैं जो इन अभियानों को उसी खतरे वाले अभिनेता से जोड़ रही हैं जिसने पोलैंड में अभियान चलाया था। निस्संदेह, एकमात्र महत्वपूर्ण चीज़ जो बदली, वह थी स्पैम ईमेल में उपयोग की जाने वाली भाषा का उन विशिष्ट देशों के लिए उपयुक्त होना।

स्पेन में अभियान

पहले उल्लिखित अभियानों के अलावा, स्पेन ने अंतिम पेलोड के रूप में रेसकॉम्स के साथ स्पैम ईमेल की वृद्धि का भी अनुभव किया। हालाँकि हम इस बात की पुष्टि कर सकते हैं कि कम से कम एक अभियान उसी ख़तरे वाले अभिनेता द्वारा चलाया गया था जैसा कि इन पिछले मामलों में किया गया था, अन्य अभियानों ने कुछ अलग पैटर्न का पालन किया। इसके अलावा, यहां तक ​​कि जो कलाकृतियां पिछले मामलों में समान थीं, उनमें भी भिन्नता है और इस वजह से, हम यह निष्कर्ष नहीं निकाल सकते हैं कि स्पेन में अभियान एक ही स्थान से उत्पन्न हुए थे।

निष्कर्ष

2023 की दूसरी छमाही के दौरान हमने AceCryptor के उपयोग में बदलाव का पता लगाया - एक लोकप्रिय क्रिप्टोर जिसका उपयोग कई मैलवेयर परिवारों को पैक करने के लिए कई खतरे वाले कलाकारों द्वारा किया जाता है। भले ही रेडलाइन स्टीलर जैसे कुछ मैलवेयर परिवारों का प्रचलन कम हो गया, अन्य खतरनाक अभिनेताओं ने इसका उपयोग करना शुरू कर दिया या अपनी गतिविधियों के लिए इसका और भी अधिक उपयोग किया और AceCryptor अभी भी मजबूत हो रहा है। इन अभियानों में AceCryptor का उपयोग कई यूरोपीय देशों को लक्षित करने और जानकारी निकालने के लिए किया गया था या अनेक कंपनियों तक आरंभिक पहुंच प्राप्त करें। इन हमलों में मैलवेयर स्पैम ईमेल में वितरित किया गया था, जो कुछ मामलों में काफी विश्वसनीय थे; कभी-कभी स्पैम वैध, लेकिन दुरुपयोग किए गए ईमेल खातों से भी भेजा जाता था। क्योंकि ऐसे ईमेल से अटैचमेंट खोलने से आपके या आपकी कंपनी के लिए गंभीर परिणाम हो सकते हैं, हम सलाह देते हैं कि आप जो भी खोल रहे हैं उसके बारे में जागरूक रहें और मैलवेयर का पता लगाने में सक्षम विश्वसनीय एंडपॉइंट सुरक्षा सॉफ़्टवेयर का उपयोग करें।

WeLiveSecurity पर प्रकाशित हमारे शोध के बारे में किसी भी पूछताछ के लिए, कृपया हमसे यहां संपर्क करें धमकीइंटेल@eset.com.
ईएसईटी रिसर्च निजी एपीटी खुफिया रिपोर्ट और डेटा फीड प्रदान करता है। इस सेवा के बारे में किसी भी पूछताछ के लिए, पर जाएँ ईएसईटी थ्रेट इंटेलिजेंस इस पृष्ठ पर ज़ूम कई वीडियो ट्यूटोरियल और अन्य साहायक साधन प्रदान करता है।

आईओसी

समझौता संकेतकों (आईओसी) की एक विस्तृत सूची हमारे यहां पाई जा सकती है गिटहब भंडार.

फ़ाइलें

शा 1	फ़ाइल का नाम	खोज	Description
7D99E7AD21B54F07E857 FC06E54425CD17DE3003	पीआर18213.आइसो	Win32/Kryptik.HVOB	दिसंबर 2023 के दौरान सर्बिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
7DB6780A1E09AEC6146E D176BD6B9DF27F85CFC1	zapytanie.7z	Win32/Kryptik.HUNX	सितंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
7ED3EFDA8FC446182792 339AA14BC7A83A272F85	20230904104100858.7z	Win32/Kryptik.HUMX	सितंबर 2023 के दौरान पोलैंड और बुल्गारिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
9A6C731E96572399B236 DA9641BE904D142F1556	20230904114635180.iso	Win32/Kryptik.HUMX	सितंबर 2023 के दौरान सर्बिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
57E4EB244F3450854E5B 740B95D00D18A535D119	SA092300102.iso	Win32/Kryptik.HUPK	सितंबर 2023 के दौरान बुल्गारिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
178C054C5370E0DC9DF8 250CA6EFBCDED995CF09	zamowienie_135200.7z	Win32/Kryptik.HUMI	अगस्त 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
394CFA4150E7D47BBDA1 450BC487FC4B970EDB35	PRV23_8401.iso	Win32/Kryptik.HUMF	अगस्त 2023 के दौरान सर्बिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
3734BC2D9C321604FEA1 1BF550491B5FDA804F70	BP_50C55_20230 309_094643.7z	Win32/Kryptik.HUMF	अगस्त 2023 के दौरान बुल्गारिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
71076BD712C2E3BC8CA5 5B789031BE222CFDEEA7	20_J402_MRO_EMS	Win32/Rescoms.B	अगस्त 2023 के दौरान स्लोवाकिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
667133FEBA54801B0881 705FF287A24A874A400B	7360_37763.iso	Win32/Rescoms.B	दिसंबर 2023 के दौरान बुल्गारिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
AF021E767E68F6CE1D20 B28AA1B36B6288AFFFA5	zapytanie OFertowe.7z	Win32/Kryptik.HUQF	सितंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
BB6A9FB0C5DA4972EFAB 14A629ADBA5F92A50EAC	129550.7z	Win32/Kryptik.HUNC	सितंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
D2FF84892F3A4E4436BE DC221102ADBCAC3E23DC	Zamowienie_ andre.7z	Win32/Kryptik.HUOZ	सितंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
DB87AA88F358D9517EEB 69D6FAEE7078E603F23C	20030703_S1002.iso	Win32/Kryptik.HUNI	सितंबर 2023 के दौरान सर्बिया में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
EF2106A0A40BB5C1A74A 00B1D5A6716489667B4C	Zamowienie_830.iso	Win32/Kryptik.HVOB	दिसंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
FAD97EC6447A699179B0 D2509360FFB3DD0B06BF	zdjęcia.arj और szczegółowe zdjęcia.arj की सूची	Win32/Kryptik.HUPK	सितंबर 2023 के दौरान पोलैंड में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।
FB8F64D2FEC152D2D135 BBE9F6945066B540FDE5	Pedido.iso	Win32/Kryptik.HUMF	अगस्त 2023 के दौरान स्पेन में चलाए गए स्पैम अभियान से दुर्भावनापूर्ण अनुलग्नक।

MITER ATT&CK तकनीक

यह तालिका का उपयोग करके बनाई गई थी 14 संस्करण एमआईटीईआर एटीटी एंड सीके ढांचे का।

युक्ति	ID	नाम	Description
पैमाइश	T1589.002	पीड़ित की पहचान की जानकारी इकट्ठा करें: ईमेल पते	कई देशों में कंपनियों को लक्षित करने के लिए फ़िशिंग अभियानों में ईमेल पते और संपर्क जानकारी (या तो खरीदी गई या सार्वजनिक रूप से उपलब्ध स्रोतों से एकत्र की गई) का उपयोग किया गया था।
संसाधन विकास	T1586.002	समझौता खाते: ईमेल खाते	स्पैम ईमेल की विश्वसनीयता बढ़ाने के लिए हमलावरों ने स्पैम अभियानों में फ़िशिंग ईमेल भेजने के लिए समझौता किए गए ईमेल खातों का उपयोग किया।
	T1588.001	क्षमताएं प्राप्त करें: मैलवेयर	हमलावरों ने फ़िशिंग अभियानों के लिए AceCryptor और Rescoms को खरीदा और उपयोग किया।
प्रारंभिक पहुंच	T1566	फिशिंग	हमलावरों ने कंप्यूटरों में सेंध लगाने और कई यूरोपीय देशों की कंपनियों से जानकारी चुराने के लिए दुर्भावनापूर्ण अनुलग्नकों वाले फ़िशिंग संदेशों का उपयोग किया।
	T1566.001	फ़िशिंग: स्पीयरफ़िशिंग अटैचमेंट	हमलावरों ने कई यूरोपीय देशों में कंप्यूटरों से छेड़छाड़ करने और कंपनियों से जानकारी चुराने के लिए स्पीयरफ़िशिंग संदेशों का उपयोग किया।
निष्पादन	T1204.002	उपयोगकर्ता निष्पादन: दुर्भावनापूर्ण फ़ाइल	हमलावर AceCryptor द्वारा पैक किए गए मैलवेयर के साथ दुर्भावनापूर्ण फ़ाइलें खोलने और लॉन्च करने वाले उपयोगकर्ताओं पर भरोसा करते थे।
क्रेडेंशियल एक्सेस	T1555.003	पासवर्ड स्टोर से क्रेडेंशियल: वेब ब्राउज़र से क्रेडेंशियल	हमलावरों ने ब्राउज़र और ईमेल क्लाइंट से क्रेडेंशियल जानकारी चुराने की कोशिश की।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.welivesecurity.com/en/eset-research/rescoms-rides-waves-acecryptor-spam/