Wouter Hoeffnagel - 28 mei 2023

ESET waarschuwt voor veelvoorkomende cryptomalware AceCryptor

ESET wijst op een brede inzet de cryptomalware AceCryptor. Het bedrijf trof de malware in 2021 en 2022 aan bij meer dan 80.000 klanten. In totaal ging het om 240.000 detecties.

ESET waarschuwt voor veelvoorkomende cryptomalware AceCryptor image

AceCryptor opereert als een cryptor-as-a-service die door tientallen malwarefamilies wordt gebruikt. Deze dreiging bestaat al sinds 2016 en is wereldwijd verspreid, waarbij meerdere dreigingsactoren het actief gebruiken om malware in hun campagnes te verspreiden. Gedurende 2021 en 2022 zag ESET telemetrie meer dan 240.000 detecties van deze malware, wat neerkomt op meer dan 10.000 hits per maand. AceCryptor wordt waarschijnlijk verkocht op het dark web of ondergrondse forums.

Detectie voorkomen

"Voor auteurs van malware is het een uitdaging om hun creaties te beschermen tegen detectie. Cryptors vormen de eerste verdedigingslaag voor malware die wordt verspreid. Ook al kunnen dreigingsactoren hun eigen aangepaste cryptors maken en onderhouden, voor crimeware is het vaak tijdrovend of technisch moeilijk om hun cryptor volledig ondetecteerbaar te houden. De vraag naar dergelijke bescherming heeft meerdere cryptor-as-a-service opties gecreëerd die malware verpakken," zegt ESET-onderzoeker Jakub Kaloč, die AceCryptor analyseerde.

Onder de gevonden malwarefamilies die AceCryptor gebruikten, was RedLine Stealer één van de meest voorkomende - Deze malware is te koop op ondergrondse forums en wordt gebruikt om creditcardgegevens en andere gevoelige gegevens te stelen, bestanden te uploaden en downloaden en zelfs cryptocurrency te stelen. RedLine Stealer werd voor het eerst gezien in Q1 2022; distributeurs hebben AceCryptor sindsdien gebruikt en blijven dat doen. "Het betrouwbaar kunnen detecteren van AceCryptor helpt ons dus niet alleen met zichtbaarheid in nieuwe opkomende dreigingen, maar ook met het monitoren van de activiteiten van dreigingsactoren", legt Kaloč uit.

240.000 detecties

ESET meldt gedurende 2021 en 2022 ruim 80.000 klanten te hebben beschermd die getroffen werden door malware verpakt door AceCryptor. In totaal zijn er 240.000 detecties geweest, waaronder hetzelfde sample dat op meerdere computers werd gedetecteerd, en één computer die meerdere keren door ESET-software werd beschermd. AceCryptor is volgens ESET erg versluierd en heeft door de jaren heen veel technieken gebruikt om detectie te vermijden.

"Ook al kennen we de exacte prijs van deze dienst niet, met dit aantal detecties nemen we aan dat de winst voor de auteurs van AceCryptor niet te verwaarlozen is," theoretiseert Kaloč.

Op diverse manieren verspreid

Omdat AceCryptor door meerdere dreigingsactoren wordt gebruikt, wordt de ermee verpakte malware op meerdere manieren verspreid. Volgens ESET telemetrie werden apparaten voornamelijk blootgesteld aan met AceCryptor verpakte malware via trojaanse installateurs van illegale software of spam e-mails met schadelijke bijlagen. Een andere manier waarop iemand kan worden blootgesteld is via andere malware die nieuwe, door AceCryptor beschermde malware downloadde. Een voorbeeld is het Amadey-botnet, dat we hebben waargenomen bij het downloaden van een RedLine Stealer met AceCryptor.

Aangezien veel dreigingsactoren de malware gebruiken, kan iedereen worden getroffen. Door de diversiteit van de ingepakte malware is het moeilijk in te schatten hoe ernstig de gevolgen zijn voor een gecompromitteerd slachtoffer. AceCryptor kan zijn gedropt door andere malware die al op de machine van het slachtoffer draait, of, als het slachtoffer rechtstreeks is getroffen door bijvoorbeeld het openen van een schadelijke e-mailbijlage, kan de malware die erin zit aanvullende malware hebben gedownload; er kunnen dus veel malwarefamilies tegelijk aanwezig zijn. AceCryptor heeft meerdere varianten en gebruikt momenteel een drielaagse architectuur.

Hoewel toewijzing van AceCryptor aan een bepaalde dreiger voorlopig niet mogelijk is, verwacht ESET Research dat AceCryptor op grote schaal gebruikt zal blijven worden. Nader toezicht zal helpen bij het voorkomen en ontdekken van nieuwe campagnes van malwarefamilies met deze cryptor. Meer technische informatie is hier beschikbaar.

Vertiv BW 01-07-2024 tm 05-08-2024 Dutch IT Security Day BW tm 15-10-2024
ALSO BW 03-06-2024 tm

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!