Dutch IT Chanel Logo mobile
Search icon
Wouter Hoeffnagel - 22 maart 2024

Cryptomalware AceCryptor maakt steeds meer slachtoffers

Het aantal aanvallen met de cryptomalware AceCryptor stijgt snel. Ook is een verandering te zien in het gebruik van AceCryptor; steeds vaker maken aanvallers die voorheen op de remote access tool (RAT) Rescoms vertrouwden gebruik van AceCryptor.

Security Data protection
Cryptomalware AceCryptor maakt steeds meer slachtoffers image

ESET meldt dat het aantal detecties van AceCryptor tussen de eerste en tweede helft van 2023 is verdrievoudigd. Dit komt overeen met de bescherming van 42.000 ESET-gebruikers wereldwijd. Daarnaast registreerde ESET de afgelopen maanden een belangrijke verandering in de manier waarop AceCryptor wordt gebruikt. De aanvallers die Rescoms (ook bekend als Remcos) verspreidden, begonnen AceCryptor te gebruiken, wat voorheen niet het geval was. Rescoms is een remote access tool (RAT) die vaak door dreigingsactoren wordt gebruikt voor kwaadaardige doeleinden; AceCryptor is een cryptor-as-a-service die malware verdoezelt om de detectie ervan te belemmeren.

Op basis van het gedrag van ingezette malware gaan ESET-onderzoekers ervan uit dat het doel van deze campagnes was om e-mail- en browsergegevens te verkrijgen voor verdere aanvallen op de beoogde bedrijven. De overgrote meerderheid van de met AceCryptor verpakte Rescoms RAT-monsters werd gebruikt als een eerste compromisvector in meerdere spamcampagnes gericht op Europese landen, waaronder Centraal-Europa (Polen, Slowakije), de Balkan (Bulgarije, Servië) en Spanje.

Slachtoffers in meerdere Europese landen

"In deze campagnes werd AceCryptor gebruikt om meerdere Europese landen te targeten en om informatie te verkrijgen of initiële toegang te krijgen tot meerdere bedrijven. Malware bij deze aanvallen werd verspreid in spam-e-mails, die in sommige gevallen behoorlijk overtuigend waren; soms werd de spam zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts", zegt ESET-onderzoeker Jakub Kaloč, die de nieuwste AceCryptor with Rescoms-campagne ontdekte. "Omdat het openen van bijlagen van dergelijke e-mails ernstige gevolgen kan hebben voor u of uw bedrijf, raden we u aan om op de hoogte te zijn van wat u opent en betrouwbare endpoint-beveiligingssoftware te gebruiken die deze malware kan detecteren."

In de eerste helft van 2023 waren Peru, Mexico, Egypte en Turkije de landen die het meest werden getroffen door malware verpakt door AceCryptor, waarbij Peru met 4.700 het grootste aantal aanvallen had. De spamcampagnes van Rescom hebben deze statistieken in de tweede helft van het jaar drastisch veranderd. AceCryptor-verpakte malware trof voornamelijk Europese landen.

Twee malwarevarianten veelgebruikt als payload

AceCryptor-voorbeelden die ESET in de tweede helft van 2023 hebben waargenomen, bevatten vaak twee malwarefamilies als payload: Rescoms en SmokeLoader. Een piek die in Oekraïne werd gedetecteerd, werd veroorzaakt door SmokeLoader. Aan de andere kant werd in Polen, Slowakije, Bulgarije en Servië een verhoogde activiteit veroorzaakt door AceCryptor met Rescoms als laatste payload.

Alle spamcampagnes die gericht waren op bedrijven in Polen hadden e-mails met zeer vergelijkbare onderwerpregels over B2B-aanbiedingen voor de geslachtofferde bedrijven. Om er zo geloofwaardig mogelijk uit te zien, deden aanvallers hun onderzoek en gebruikten ze bestaande Poolse bedrijfsnamen en zelfs bestaande namen van werknemers/eigenaren en contactgegevens bij het ondertekenen van die e-mails. Dit werd gedaan zodat in het geval dat een slachtoffer de naam van de afzender googelde, de zoekopdracht succesvol zou zijn, wat ertoe zou kunnen leiden dat het slachtoffer de kwaadaardige bijlage opent.

Succesvolle aanval opent deur voor verdere aanvallen

Het is niet bekend of de inloggegevens zijn verzameld voor de groep die deze aanvallen heeft uitgevoerd of dat die gestolen inloggegevens later zouden worden doorverkocht aan andere dreigingsactoren. ESET waarschuwt dat een succesvolle inbreuk de mogelijkheid opent voor verdere aanvallen, vooral voor ransomware-aanvallen.

Parallel aan de campagnes in Polen registreerde ESET-telemetrie ook lopende campagnes in Slowakije, Bulgarije en Servië. Het enige significante verschil was natuurlijk dat de taal die in de spam-e-mails werd gebruikt, was gelokaliseerd voor die specifieke landen. Afgezien van de eerder genoemde campagnes, kreeg Spanje ook te maken met een golf van spam-e-mails met Rescoms als laatste payload.

Meer technische informatie over de AceCryptor en Rescoms RAT campagne is hier beschikbaar.

Dutch IT events

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Over Wouter Hoeffnagel

Wouter Hoeffnagel

Wouter Hoeffnagel is Manager Online content bij Dutch IT Media

Hij is expert op het gebied van ICT en schrijft hierover al jaren in de vorm van nieuwsberichten en inzichtelijke artikelen.

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!