Киберпрестъпник, използващ името „salfetka“, твърди, че продава изходния код на INC Ransom – операция за получаване на откуп като услуга (RaaS), стартирана през август 2023 г.
Преди това INC се е насочвал към американското подразделение на Xerox Business Solutions (XBS), Yamaha Motor Philippines, а наскоро и към Националната здравна служба на Шотландия (NHS).
Едновременно с предполагаемата продажба операцията INC Ransom претърпява промени, които могат да подскажат разрив между основните членове на екипа или планове за преминаване към нова глава, която ще включва използването на нов криптограф.
Извършителят на заплахата обяви продажбата на версиите на INC за Windows и Linux/ESXi на хакерските форуми Exploit and XSS, като поиска 300 000 USD и ограничи броя на потенциалните купувачи само до трима.
Според информацията, предоставена на медиите от експертите по разузнаване на заплахите в KELA, които са забелязали продажбата, техническите подробности, споменати в публикацията във форума, като например използването на AES-128 в режим CTR и алгоритмите Curve25519 Donna, съвпадат с публичния анализ на образците на INC Ransom.
KELA също така съобщи, че „salfetka“ е активен в хакерските форуми от март 2024 г. насам. Преди това той е искал да закупи достъп до мрежата за сума до 7000 долара и е предлагал на брокерите на първоначалния достъп да намалят приходите от атаки с рансъмуер.
Друг момент, който придава легитимност на продажбата, е, че „salfetka“ включва в подписа си URL адресите както на старата, така и на новата страница INC Ransom, което показва, че е свързан с операцията за откуп.
Все пак продажбата може да е измама, като през последните няколко месеца хакерът внимателно е подържал акаунта „salfetka“, декларирал е интерес към закупуване на достъп до мрежата и е определил висока цена, за да изглежда офертата легитимна.
Понастоящем на стария или новия сайт на INC няма публични съобщения за продажба на изходния код на проекта.
На 1 май 2024 г. INC Ransom обявява на стария си сайт, че ще се премести в нов „блог“ за изнудване за изтичане на данни, и споделя нов TOR адрес, като заявява, че старият сайт ще бъде затворен след два до три месеца.
Новият сайт вече е готов, а списъците с жертви се припокриват със стария портал, както и с дванадесет нови жертви, които не се виждат на стария сайт.
Общо в списъка на новия сайт има 64 жертви (12 нови), докато в стария има 91 публикации, така че липсват приблизително половината от миналите жертви на INC.
„Разминаванията между двата сайта могат да подскажат, че при операцията може да е настъпила промяна в ръководството или разделяне на различни групи“, коментират анализаторите на KELA.
„Въпреки това фактът, че „salfetka“ е посочил и двата сайта като свои предполагаеми проекти, предполага, че не е свързан само с една част от операцията.“
„В този случай е възможно новият блог да е създаден в опит да се получат по-големи печалби от продажбата.“
Заслужава да се отбележи също така, че дизайнът на новата изнудваческа страница на INC визуално наподобява този на Hunters International, което може да показва връзка с другата RaaS операция.
За разлика от публичното изтичане на информация, което позволява на анализаторите по сигурността да разбият криптирането на даден щам на ransomware, частните продажби на изходния код на щамове, за които няма наличен декриптор, могат да създадат повече проблеми на организациите по света.
Тези създатели на рансъмуер се купуват от силно мотивирани заплахи, които току-що навлизат в пространството, или от полуутвърдени групи, които искат да подобрят играта си, използвайки по-стабилен и добре изпитан криптограф.
Това е особено вярно, когато се предлага версия за Linux/ESXi, която обикновено е по-трудна за разработване и по-скъпа за придобиване.
Когато бандите за изнудване се преименуват, те обикновено използват отново голяма част от изходния код на старите си криптори, което позволява на изследователите да свържат по-старите банди с новите операции.
Използването на криптори на други операции също може да помогне за промяна на марката, тъй като обърква следите за правоприлагащите органи и изследователите.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.