Wielka fala ataków AceCryptorem. Polska na pierwszej linii

Dotychczasowe przypadki użycia AceCryptora wykazały, że wykorzystywano go razem z malware Remcos oraz narzędziem SmokeLoader. Sam AC stale ewoluuje. Zdaniem badaczy, jego działanie przypomina ransomware STOP czy trojana Vidar.

Polska na pierwszej linii

Jak podaje The Record, zeszłoroczne ataki AceCryptorem przeprowadzane były na całym świecie. W pierwszej połowie roku 2023, atakujący skupili się na krajach poza Europą – najwięcej ataków tym narzędziem odnotowano w Peru, Egipcie czy Meksyku. Dopiero w drugim półroczu ataki przeniosły się do Europy.

Niestety, spośród krajów europejskich najmocniej ataki odczuła Polska. Nasz kraj stał się celem przeszło 26 tys. prób infekcji AceCryptorem. Tysiące ataków odnotowano z kolei w Hiszpanii czy na Ukrainie. Zdaniem ESET, użycie Remcos oraz SmokeLoadera wskazuje rosyjskich hakerów jako potencjalnych sprawców, aczkolwiek całkowitej pewności w tym kontekście nie ma.

Autentyczne adresy i nazwiska

Ataki z wykorzystaniem AceCryptora w przypadku polskich firm przybierały formę oferty B2B. Pomimo faktu, że e-maile były kwalifikowane jako spam, to w niektórych przypadkach bardzo trudno było je odróżnić od prawdziwych wiadomości.

Hakerzy poszli jednak o krok dalej w zdobyciu zaufania swoich ofiar. Część e-maili została wysłana z adresów niewzbudzających podejrzeń. Wykorzystano również autentyczne nazwy firm, a także imiona i nazwiska pracowników. 

Jeżeli ktoś dał się skusić takiej wiadomości i pobrał załącznik na komputer, umożliwił hakerom wykradzenie danych osobowych. Nie wiadomo konkretnie, co może się stać z tymi danymi. Zdaniem ESET, mogą one zostać wystawione na sprzedaż bądź zbierane przez hakerów na własny użytek.

/PM

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].