AceCryptor hat sich seit 2016 weltweit verbreitet. Mehrere Bedrohungsakteure nutzen diese Bedrohung aktiv, um verpackte Malware in ihren Kampagnen zu verbreiten. In den Jahren 2021 und 2022 entdeckte die ESET-Telemetrie mehr als 240 Tausend Vorfälle im Zusammenhang mit dieser Malware, was mehr als 10 Tausend Entdeckungen pro Monat bedeutet. Diese Software wird wahrscheinlich im Dark Web oder in Untergrundforen verkauft, und Dutzende von verschiedenen Malware-Familien nutzen die Dienste dieser Malware. Viele von ihnen nutzen diese Kryptowährung als Hauptschutz gegen statische Entdeckungen.
240 Tausend Vorfälle in zwei Jahren entdeckt
Jakub Kaloč, ein ESET-Forscher, der AceCryptor analysierte, sagte: „Für Malware-Autoren ist es schwierig, die von ihnen entwickelte Software vor Entdeckung zu schützen. Verschlüsselungen sind die erste Verteidigungsschicht für verteilte Malware. Bedrohungsakteure verwenden diesen Verschlüsseler, den sie speziell selbst entwickelt haben. Allerdings ist es für diese Bedrohungsakteure oft zeitaufwändig oder technisch schwierig, die Erkennung ihrer Verschlüsselungsprogramme vollständig zu verhindern. Die Nachfrage nach dieser Art von Schutz hat zu einer großen Anzahl von Verschlüsselungsdiensten geführt, die Malware zusammenfassen.
Unter den Malware-Familien, die AceCryptor verwenden, ist RedLine Stealer eine der am weitesten verbreiteten. Er wird in Untergrundforen zum Kauf angeboten und wird verwendet, um Kreditkarteninformationen und sensible Daten zu stehlen, Dateien hoch- und herunterzuladen und sogar Kryptowährung zu stehlen. RedLine Stealer wurde zum ersten Mal im 1. Quartal 2022 entdeckt; seither haben die Vertreiber AceCryptor verwendet und tun dies auch weiterhin. Kaloč erklärt dies wie folgt: „Die Möglichkeit, AceCryptor zuverlässig aufzuspüren, verschafft uns nicht nur einen Einblick in neu auftretende Bedrohungen, sondern hilft uns auch, die Aktivitäten von Bedrohungsakteuren zu überwachen.“