VexTrio
Forscher von Infosec haben über 70.000 vermeintlich legitime Websites aufgedeckt, die gekapert und in ein Netzwerk integriert wurden, das von Kriminellen genutzt wird, um Malware zu verbreiten, Phishing-Seiten zu hosten und andere illegale Inhalte zu teilen. Dieses als VexTrio bezeichnete Netzwerk operierte seit seiner Gründung im Jahr 2017 oder möglicherweise schon früher größtenteils unentdeckt. Jüngste Enthüllungen brachten jedoch weitere Informationen über die Art dieser Operation ans Licht.
Inhaltsverzeichnis
VexTrio ist ein umfangreicher Vorgang, der zu schwerwiegenden Sicherheitsproblemen führen könnte
Der von den Cyberkriminellen verwendete Prozess ist nicht so komplex und ähnelt den Verkehrsverteilungssystemen (TDS), die üblicherweise im Marketingbereich verwendet werden, um Internetnutzer auf der Grundlage ihrer Interessen oder ähnlicher Kriterien zu bestimmten Websites zu leiten.
Im Zusammenhang mit VexTrio werden Zehntausende Websites kompromittiert, die ihre Besucher auf Seiten umleiten, die das Herunterladen von Malware ermöglichen, gefälschte Anmeldeschnittstellen für den Diebstahl von Zugangsdaten anzeigen oder an anderen betrügerischen oder cyberkriminellen Aktivitäten beteiligt sind.
Man geht davon aus, dass etwa 60 Mitgliedsorganisationen in unterschiedlichen Funktionen an dem Netzwerk beteiligt sind. Einige Partner stellen kompromittierte Websites bereit und leiten die Angriffsziele auf die TDS-Infrastruktur von VexTrio, die dann die Browser der Opfer auf schädliche Seiten lenkt. Das TDS leitet Einzelpersonen normalerweise nur weiter, wenn sie bestimmte Kriterien erfüllen.
VexTrio verlangt von den Betreibern betrügerischer Websites eine Gebühr für die Weiterleitung des Web-Verkehrs in ihre Richtung, wobei die Personen, die die manipulierten Websites bereitgestellt haben, ebenfalls einen Anteil erhalten. Darüber hinaus kann das TDS Benutzer zu Betrugswebsites weiterleiten, die von der VexTrio-Crew selbst betrieben werden, sodass die Kriminellen direkt von ihren betrügerischen Aktivitäten profitieren können. VexTrio stellt aufgrund seiner großen Reichweite und ausgefeilten Einrichtung ein erhebliches Sicherheitsrisiko dar.
VexTrio wird verwendet, um Opfern schädliche Malware-Bedrohungen zu übermitteln
Ein über VexTrio verbreiteter Malware-Stamm ist SocGholish , auch bekannt als FakeUpdates, und er hat sich seit Anfang 2024 zu einem der am weitesten verbreiteten Malware-Stämme entwickelt.
SocGholish ist in JavaScript codiert und wird normalerweise aktiviert, wenn ein Benutzer eine manipulierte Website besucht. Es zielt speziell auf Windows-Rechner ab und präsentiert sich als Browser-Update. Wenn es vom ahnungslosen Benutzer installiert und dann ausgeführt werden darf, infiziert SocGholish seinen PC mit Backdoor-Malware, Ransomware und anderen bösartigen Komponenten. Insbesondere wurde beobachtet, dass SocGholish GootLoader , Dridex , NetSupport , DoppelPaymer und AZORult auf die Computer der Opfer lieferte. Die Malware wird einer finanziell motivierten Gruppe namens TA569 und UNC1543 zugeschrieben.
Darüber hinaus gibt es Hinweise darauf, dass VexTrio zur Verbreitung der informationsstehlenden ClearFake-Malware verwendet wird.
Ransomware-Gruppen kassierten Rekord-Lösegeldzahlungen von Opfern
Im Jahr 2023 erlebten auf Ransomware-Bedrohungen spezialisierte Cyberkriminalitätsgruppen einen bemerkenswerten Aufschwung: Die Zahlungen überstiegen die Grenze von einer Milliarde US-Dollar und signalisierten einen erheblichen Anstieg des Ausmaßes und der Komplexität ihrer Angriffe. Dies stellte eine deutliche Abweichung vom beobachteten Rückgang im Jahr 2022 dar. Forscher betonen, dass der Gesamttrend von 2019 bis 2023 trotz eines vorübergehenden Rückgangs der Ransomware-Zahlungen im Jahr 2022 auf ein anhaltendes und wachsendes Problem hinweist. Es ist wichtig zu beachten, dass die gemeldete Zahl dies nicht berücksichtigt volle wirtschaftliche Auswirkungen, einschließlich Produktivitätsverlust und Reparaturkosten für die Opfer.
Tatsächlich kam es im Jahr 2023 zu einem erheblichen Anstieg der Häufigkeit, des Ausmaßes und des Volumens von Ransomware-Angriffen, die von einer Vielzahl von Akteuren, darunter großen Syndikaten, kleineren Gruppen und Einzelpersonen, inszeniert wurden. Das Aufkommen von Initial Access Brokers (IABs) spielte eine Schlüsselrolle bei der Erleichterung dieser Angriffe, indem sie Zugang zu Netzwerken gewährten, die sie anschließend zu relativ geringen Kosten an Ransomware-Angreifer verkauften.
Was den Bestimmungsort der als Lösegeld erhaltenen Gelder anbelangt, werden zentralisierte Börsen und Mixer für Geldwäscheprogramme stets bevorzugt. Im Jahr 2023 entstanden jedoch neue Dienste wie Bridges, Instant Exchanges und Glücksspieldienste, die schnell an Bedeutung gewannen.
