Sicherheitsforscher haben einen dramatischen Anstieg von sogenannten Acecryptor-Angriffen in Europa festgestellt. Zwischen dem ersten und zweiten Halbjahr 2023 habe sich die Anzahl erkannter Attacken verdreifacht, so Experten des IT-Security-Unternehmens Eset. So seien etwa 42.000 Eset-Nutzer weltweit ins Visier von Cyberkriminellen geraten und hätten geschützt werden können. Betroffen seien vor allem Unternehmen in Zentraleuropa sowie Spanien gewesen, heisst es. Novum dieser Attacken: Zum ersten Mal überhaupt griffen Hacker, die das Remote-Access-Tool (RAT) Rescoms für Angriffe verwendeten, auf Acecryptor zurück, eine Tarn-Software für schadhafte Programme.
Ziel der Kampagnen waren demnach Zugangsdaten für E-Mail- und Browser-Konten von Unternehmen in den jeweiligen Ländern, die den Grundstein für zukünftige Angriffe legen sollten.
"Mit dieser Kampagne wollten Cyberkriminelle so viele Informationen wie möglich abgreifen. Dazu nutzen sie ‚klassische' Spam-Nachrichten, die in vielen Fällen äusserst überzeugend formuliert waren und sogar teilweise von übernommenen E-Mail-Konten versendet wurden", sagt Eset-Forscher Jakub Kaloč, der die jüngste Angriffskampagne entdeckt hat. "Das Öffnen von Anhängen aus solchen E-Mails kann schwerwiegende Folgen für Unternehmen haben. Wir raten deshalb, vorsichtig bei Mails mit Anhängen zu sein und eine zuverlässige Sicherheitssoftware zu verwenden."
Acecryptor ist ein sogenannter Cryptor-as-a-Service (CaaS). Dabei handelt es sich um Software, die ihre Nutzlast, meist verschiedene Malware-Familien, vor der Identifizierung und Bekämpfung durch Sicherheitslösungen schützen soll. Dafür kommen verschiedene Techniken zum Einsatz, die zum Beispiel Debugging und Analyse durch Antiviren-Software erschweren. Bereits im vergangenen Jahr hat sich Eset mit AceCryptor beschäftigt und die Funktionsweise der Software aufgedeckt.
Unter Remote Access Tools (RATs) verstehen IT-Experten Software, mit der Nutzer andere Systeme aus der Ferne steuern können. Meist für legitime Zwecke genutzt, missbrauchen Cyberkriminelle sie häufig, um auf fremde Systeme zuzugreifen, Daten abzuführen oder weitere Schadsoftware zu installieren. Rescoms bzw. Remcos (Remote Control and Surveillance, Fernsteuerung und Überwachung) gehört zu diesen RATs.
Im aktuellen Fall kombinierten Hacker die beiden Technologien und versendeten durch Acecryptor verschleierte Rescoms-Software in mehreren Spam-E-Mail-Kampagnen an eine Vielzahl von Nutzern. Opfer, die auf die Masche hereinfielen, installierten sich unwissentlich die Fernzugriffssoftware, über die die Hacker dann Zugangsdaten erbeuteten. Es ist nicht bekannt, ob sie diese Daten für sich selbst sammelten oder an andere Cyberkriminelle weiterverkauften. Sicher ist aber, dass eine erfolgreiche Kompromittierung das Tor für weitere Attacken öffnet, insbesondere für Ransomware-Angriffe.
Spam-Kampagnen, die auf Unternehmen in Polen abzielten, bestanden aus E-Mails mit sehr ähnlichen Betreffzeilen über B2B-Angebote für die Opferunternehmen. Um möglichst glaubwürdig zu wirken, recherchierten die Angreifer im Vorhinein bestehende polnische Firmennamen sowie Namen und Kontaktinformationen von Mitarbeitern bzw. Eigentümern, die sie in ihren Mails angaben. Suchten Opfer online nach dem Namen des Absenders, stiessen sie auf legitime Webseiten und waren eher gewillt, die bösartigen Anhänge zu öffnen.
Parallel zu den Kampagnen in Polen registrierte Eset laufende Kampagnen in der Slowakei, Bulgarien und Serbien. Die Spam-E-Mails hier waren auch in der jeweiligen Landessprache verfasst. Darüber hinaus gab es auch in Spanien eine Welle von Spam-E-Mails mit Rescoms als Nutzlast.
In der ersten Jahreshälfte 2023 waren den Eset-Angaben zufolge Peru, Mexiko, Ägypten und die Türkei am stärksten von Malware betroffen, die durch Acecryptor getarnt war. Peru verzeichnete mit 4.700 die meisten Angriffe. Die Kampagne in der zweiten Jahreshälfte betraf vor allem europäische Länder.
Acecryptor-Proben, die Eset in der zweiten Jahreshälfte 2023 untersucht habe, enthielten demnach häufig zwei Malware-Familien als Nutzlast: Rescoms und SmokeLoader, eine Backdoor mit der Cyberkriminelle weitere Malware nachladen können. Smokeloader kam häufig bei Cyberangriffen in der Ukraine zum Einsatz. In Polen, der Slowakei, Bulgarien und Serbien hingegen war Rescoms häufigste Nutzlast von Acecryptor.
Weitere technische Informationen über die Acecryptor- und Rescoms-RAT-Kampagne finden sich auf der Website https://www.welivesecurity.com.
