ESET Research: AceCryptor-aanvallen met Rescoms-tool nemen toe en richten zich op Centraal-Europa, de Balkan en Spanje

• In de tweede helft van 2023 detecteerde ESET meerdere AceCryptor-campagnes met behulp van de Rescoms remote access tool (RAT) in Europese landen, voornamelijk Polen, Bulgarije, Slowakije, Spanje en Servië.
• De dreigingsactor achter deze campagnes misbruikte in sommige gevallen gecompromitteerde accounts om spam-e-mails te verzenden om ze er zo geloofwaardig mogelijk uit te laten zien.
• Het doel van de spamcampagnes was om inloggegevens te verkrijgen die waren opgeslagen in browsers of e-mailclients, wat in het geval van een succesvolle compromittering mogelijkheden zou openen voor verdere aanvallen.

Sliedrecht, 20 maart 2024 –  ESET-research heeft een dramatische toename van AceCryptor-aanvallen geregistreerd, ESET-detecties zijn tussen de eerste en tweede helft van 2023 verdrievoudigd. Dit komt overeen met de bescherming van 42.000 ESET-gebruikers wereldwijd. Daarnaast registreerde ESET de afgelopen maanden een belangrijke verandering in de manier waarop AceCryptor wordt gebruikt. De aanvallers die Rescoms (ook bekend als Remcos) verspreidden, begonnen AceCryptor te gebruiken, wat voorheen niet het geval was. Rescoms is een remote access tool (RAT) die vaak door dreigingsactoren wordt gebruikt voor kwaadaardige doeleinden; AceCryptor is een cryptor-as-a-service die malware verdoezelt om de detectie ervan te belemmeren. Op basis van het gedrag van ingezette malware gaan ESET-onderzoekers ervan uit dat het doel van deze campagnes was om e-mail- en browsergegevens te verkrijgen voor verdere aanvallen op de beoogde bedrijven. De overgrote meerderheid van de met AceCryptor verpakte Rescoms RAT-monsters werd gebruikt als een eerste compromisvector in meerdere spamcampagnes gericht op Europese landen, waaronder Centraal-Europa (Polen, Slowakije), de Balkan (Bulgarije, Servië) en Spanje.

“In deze campagnes werd AceCryptor gebruikt om meerdere Europese landen te targeten en om informatie te verkrijgen of initiële toegang te krijgen tot meerdere bedrijven. Malware bij deze aanvallen werd verspreid in spam-e-mails, die in sommige gevallen behoorlijk overtuigend waren; soms werd de spam zelfs verzonden vanaf legitieme, maar misbruikte e-mailaccounts“, zegt ESET-onderzoeker Jakub Kaloč, die de nieuwste AceCryptor with Rescoms-campagne ontdekte. “Omdat het openen van bijlagen van dergelijke e-mails ernstige gevolgen kan hebben voor u of uw bedrijf, raden we u aan om op de hoogte te zijn van wat u opent en betrouwbare endpoint-beveiligingssoftware te gebruiken die deze malware kan detecteren“, voegt hij eraan toe.

In de eerste helft van 2023 waren Peru, Mexico, Egypte en Turkije de landen die het meest werden getroffen door malware verpakt door AceCryptor, waarbij Peru met 4.700 het grootste aantal aanvallen had. De spamcampagnes van Rescom hebben deze statistieken in de tweede helft van het jaar drastisch veranderd. AceCryptor-verpakte malware trof voornamelijk Europese landen.

AceCryptor-voorbeelden die we in de tweede helft van 2023 hebben waargenomen, bevatten vaak twee malwarefamilies als payload: Rescoms en SmokeLoader. Een piek die in Oekraïne werd gedetecteerd, werd veroorzaakt door SmokeLoader. Aan de andere kant werd in Polen, Slowakije, Bulgarije en Servië een verhoogde activiteit veroorzaakt door AceCryptor met Rescoms als laatste payload.

Alle spamcampagnes die gericht waren op bedrijven in Polen hadden e-mails met zeer vergelijkbare onderwerpregels over B2B-aanbiedingen voor de geslachtofferde bedrijven. Om er zo geloofwaardig mogelijk uit te zien, deden aanvallers hun onderzoek en gebruikten ze bestaande Poolse bedrijfsnamen en zelfs bestaande namen van werknemers/eigenaren en contactgegevens bij het ondertekenen van die e-mails. Dit werd gedaan zodat in het geval dat een slachtoffer de naam van de afzender googelde, de zoekopdracht succesvol zou zijn, wat ertoe zou kunnen leiden dat het slachtoffer de kwaadaardige bijlage opent.

Hoewel het niet bekend is of de inloggegevens zijn verzameld voor de groep die deze aanvallen heeft uitgevoerd of dat die gestolen inloggegevens later zouden worden doorverkocht aan andere dreigingsactoren, is het zeker dat een succesvolle inbreuk de mogelijkheid opent voor verdere aanvallen, vooral voor ransomware-aanvallen.

Parallel aan de campagnes in Polen registreerde ESET-telemetrie ook lopende campagnes in Slowakije, Bulgarije en Servië. Het enige significante verschil was natuurlijk dat de taal die in de spam-e-mails werd gebruikt, was gelokaliseerd voor die specifieke landen. Afgezien van de eerder genoemde campagnes, kreeg Spanje ook te maken met een golf van spam-e-mails met Rescoms als laatste payload.

Voor meer technische informatie over de AceCryptor en Rescoms RAT campagne, lees de blogpost “Rescoms rides waves of AceCryptor spam” op WeLiveSecurity.com. En blijf ESET Research volgen op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Over ESET
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale dreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende dreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESET’s R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en X (voorheen Twitter).