ESET Research onthult nieuwe analyse van AceCryptor: treft computers 10.000 keer per maand via crimeware

Next story
  • ESET-onderzoekers publiceren details over een veel voorkomende cryptomalware, AceCryptor, die opereert als een cryptor-as-a-service die door tientallen malwarefamilies wordt gebruikt
  • AceCryptor samples komen wereldwijd veel voor omdat meerdere dreigingsactoren de cryptor malware actief gebruiken om in hun campagnes verpakte malware te verspreiden.
  • In 2021 en 2022 heeft ESET meer dan 80.000 klanten beschermd die werden getroffen door malware die door AceCryptor was verpakt.
  • In totaal zag ESET 240.000 detecties,waaronder hetzelfde sample dat op meerdere computers werd gedetecteerd, en één computer die meerdere keren door ESET-software werd beschermd. Dit komt neer op meer dan 10.000 hits per maand.
  • Onder de gevonden malwarefamilies die AceCryptor gebruikten, was een van de meest voorkomende RedLine Stealer - malware die wordt gebruikt om creditcardgegevens en gevoelige gegevens te stelen, bestanden te uploaden en downloaden en zelfs cryptocurrency te stelen.
  • AceCryptor is erg gecompliceerd en kent meerdere varianten, en heeft door de jaren heen veel technieken gebruikt om detectie te vermijden.

Sliedrecht, 25 mei 2023ESET-onderzoekers hebben vandaag details onthuld over een veelvoorkomende cryptomalware, AceCryptor. AceCryptor opereert als een cryptor-as-a-service die door tientallen malwarefamilies wordt gebruikt. Deze dreiging bestaat al sinds 2016 en is wereldwijd verspreid, waarbij meerdere dreigingsactoren het actief gebruiken om malware in hun campagnes te verspreiden. Gedurende 2021 en 2022 zag ESET telemetrie meer dan 240.000 detecties van deze malware, wat neerkomt op meer dan 10.000 hits per maand. AceCryptor wordt waarschijnlijk verkocht op het dark web of ondergrondse forums.. Velen vertrouwen op deze cryptor als hun belangrijkste bescherming tegen statistische detectie.

"Voor auteurs van malware is het een uitdaging om hun creaties te beschermen tegen detectie. Cryptors vormen de eerste verdedigingslaag voor malware die wordt verspreid. Ook al kunnen dreigingsactoren hun eigen aangepaste cryptors maken en onderhouden, voor crimeware is het vaak tijdrovend of technisch moeilijk om hun cryptor volledig ondetecteerbaar te houden. De vraag naar dergelijke bescherming heeft meerdere cryptor-as-a-service opties gecreëerd die malware verpakken," zegt ESET- onderzoeker Jakub Kaloč, die AceCryptor analyseerde.

Onder de gevonden malwarefamilies die AceCryptor gebruikten, was RedLine Stealer één van de meest voorkomende - Deze malware is te koop op ondergrondse forums en wordt gebruikt om creditcardgegevens en andere gevoelige gegevens te stelen, bestanden te uploaden en downloaden en zelfs cryptocurrency te stelen. RedLine Stealer werd voor het eerst gezien in Q1 2022; distributeurs hebben AceCryptor sindsdien gebruikt en blijven dat doen. "Het betrouwbaar kunnen detecteren van AceCryptor helpt ons dus niet alleen met zichtbaarheid in nieuwe opkomende dreigingen, maar ook met het monitoren van de activiteiten van dreigingsactoren", legt Kaloč uit.

Gedurende 2021 en 2022 heeft ESET meer dan 80.000 klanten beschermd die getroffen werden door malware verpakt door AceCryptor. In totaal zijn er 240.000 detecties geweest, waaronder hetzelfde sample dat op meerdere computers werd gedetecteerd, en één computer die meerdere keren door ESET-software werd beschermd. AceCryptor is erg versluierd en heeft door de jaren heen veel technieken gebruikt om detectie te vermijden.

"Ook al kennen we de exacte prijs van deze dienst niet, met dit aantal detecties nemen we aan dat de winst voor de auteurs van AceCryptor niet te verwaarlozen is," theoretiseert Kaloč.

Omdat AceCryptor door meerdere dreigingsactoren wordt gebruikt, wordt de ermee verpakte malware op meerdere manieren verspreid. Volgens ESET telemetrie werden apparaten voornamelijk blootgesteld aan met AceCryptor verpakte malware via trojaanse installateurs van illegale software of spam e-mails met schadelijke bijlagen. Een andere manier waarop iemand kan worden blootgesteld is via andere malware die nieuwe, door AceCryptor beschermde malware downloadde. Een voorbeeld is het Amadey-botnet, dat we hebben waargenomen bij het downloaden van een RedLine Stealer met AceCryptor.

Aangezien veel dreigingsactoren de malware gebruiken, kan iedereen worden getroffen. Door de diversiteit van de ingepakte malware is het moeilijk in te schatten hoe ernstig de gevolgen zijn voor een gecompromitteerd slachtoffer. AceCryptor kan zijn gedropt door andere malware die al op de machine van het slachtoffer draait, of, als het slachtoffer rechtstreeks is getroffen door bijvoorbeeld het openen van een schadelijke e-mailbijlage, kan de malware die erin zit aanvullende malware hebben gedownload; er kunnen dus veel malwarefamilies tegelijk aanwezig zijn.

AceCryptor heeft meerdere varianten en gebruikt momenteel een drielaagse architectuur.

Hoewel toewijzing van AceCryptor aan een bepaalde dreiger voorlopig niet mogelijk is, verwacht ESET Research dat AceCryptor op grote schaal gebruikt zal blijven worden. Nader toezicht zal helpen bij het voorkomen en ontdekken van nieuwe campagnes van malwarefamilies met deze cryptor.

Bekijk voor meer technische informatie over AceCryptor de blogpost "Shedding light on AceCryptor and its operation" op WeLiveSecurity en volg ESET Research op Twitter voor het laatste nieuws. 

Heatmap van landen getroffen door AceCryptor volgens ESET telemetrie.

Over ESET 
Al meer dan 3 decennia ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten om bedrijven, kritieke infrastructuur en consumenten wereldwijd te beschermen tegen steeds complexere digitale bedreigingen. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf uit de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Evoluerende bedreigingen vereisen een evoluerend IT-beveiligingsbedrijf dat veilig gebruik van technologie mogelijk maakt. Dit wordt ondersteund door ESETs R&D centra wereldwijd, die zich inzetten voor onze gezamenlijke toekomst. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook, Instagram en Twitter.