Professionelle Malware ist besonders erfolgreich, wenn sie anhand geschickter Verschleierung die Erkennung durch Sicherheitslösungen aushebeln kann. AceCryptor wird im Rahmen von Cryptor-as-a-Service seit 2016 von Bedrohungsakteuren weltweit und aktiv für den Schutz dutzender Malware-Familien genutzt. Allein in den Jahren 2021 und 2022 hat ESET diese Malware mehr als 240.000 Mal entdeckt. AceCryptor wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft.
„Für Malware-Autoren ist es eine Herausforderung, ihre Kreationen vor Entdeckung zu schützen. Kryptographen sind die erste Verteidigungsschicht für Malware, die in Umlauf gebracht wird. Auch wenn Bedrohungsakteure ihre eigenen benutzerdefinierten Kryptoren erstellen und warten könnten, ist es für sie oft zeitaufwändig oder technisch schwierig, ihren Kryptor in einem vollständig unentdeckbaren Zustand zu halten. Die Nachfrage nach einem solchen Schutz hat mehrere Cryptor-as-a-Service-Optionen hervorgebracht, die Malware verpacken“, sagt ESET-Forscher Jakub Kaloč, der AceCryptor analysiert hat.
Unter den entdeckten Malware-Familien, die AceCryptor verwenden, war der sogenannte RedLine Stealer. Dieser Schadcode wird in Untergrundforen zum Kauf angeboten und dient dazu, sensible Daten zu erbeuten oder Dateien ohne Erlaubnis des Anwenders hoch- und herunterzuladen. Im Fokus stehen dabei das Auslesen von Kreditkarteninformationen und das Stehlen von Kryptowährungen. RedLine Stealer wurde zum ersten Mal im ersten Quartal 2022 gesichtet. Seitdem nutzen die Kriminellen AceCryptor in großem Maße.
„Auch wenn wir den genauen Preis dieses Dienstes nicht kennen, gehen wir davon aus, dass der Gewinn für die Autoren von AceCryptor bei dieser Anzahl von Entdeckungen beträchtlich ist“, sagt Kaloč. Da AceCryptor von mehreren Bedrohungsakteuren eingesetzt wird, sind die Verbreitungswege weit gestreut. Laut ESET wurden Geräte mit AceCryptor-Malware hauptsächlich über trojanische Installationsprogramme für raubkopierte Software oder Spam-E-Mails mit bösartigen Anhängen infiziert. Eine andere Möglichkeit ist, dass Malware weiteren durch AceCryptor geschützten Schadcode nachlädt. Ein Beispiel hierfür ist das Amadey-Botnet, das einen mit AceCryptor gepackten RedLine Stealer heruntergeladen hat.
AceCryptor existiert in mehreren Varianten und verwendet derzeit eine mehrstufige, dreischichtige Architektur. Obwohl es derzeit nicht möglich ist, die Schadsoftware einem bestimmten Bedrohungsakteur zuzuordnen, geht die ESET-Forscher davon aus, dass AceCryptor weiterhin weit verbreitet sein wird. Eine genauere Überwachung wird dazu beitragen, neue Kampagnen von Malware-Familien mit diesem Kryptor zu verhindern und zu entdecken.
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.