Търсене
Close this search box.

Изходният код на INC ransomware се продава за 300 000 долара

Киберпрестъпник, използващ името „salfetka“, твърди, че продава изходния код на INC Ransom – операция за получаване на откуп като услуга (RaaS), стартирана през август 2023 г.

Преди това INC се е насочвал към американското подразделение на Xerox Business Solutions (XBS), Yamaha Motor Philippines, а наскоро и към Националната здравна служба на Шотландия (NHS).

Едновременно с предполагаемата продажба операцията INC Ransom претърпява промени, които могат да подскажат разрив между основните членове на екипа или планове за преминаване към нова глава, която ще включва използването на нов криптограф.

Продажба на изходен код

Извършителят на заплахата обяви продажбата на версиите на INC за Windows и Linux/ESXi на хакерските форуми Exploit and XSS, като поиска 300 000 USD и ограничи броя на потенциалните купувачи само до трима.

Според информацията, предоставена на медиите от експертите по разузнаване на заплахите в KELA, които са забелязали продажбата, техническите подробности, споменати в публикацията във форума, като например използването на AES-128 в режим CTR и алгоритмите Curve25519 Donna, съвпадат с публичния анализ на образците на INC Ransom.

KELA също така съобщи, че „salfetka“ е активен в хакерските форуми от март 2024 г. насам. Преди това той е искал да закупи достъп до мрежата за сума до 7000 долара и е предлагал на брокерите на първоначалния достъп да намалят приходите от атаки с рансъмуер.

Друг момент, който придава легитимност на продажбата, е, че „salfetka“ включва в подписа си URL адресите както на старата, така и на новата страница INC Ransom, което показва, че е свързан с операцията за откуп.

Все пак продажбата може да е измама, като през последните няколко месеца хакерът внимателно е подържал акаунта „salfetka“, декларирал е интерес към закупуване на достъп до мрежата и е определил висока цена, за да изглежда офертата легитимна.

Понастоящем на стария или новия сайт на INC няма публични съобщения за продажба на изходния код на проекта.

INC Ransom се премества на нов сайт

На 1 май 2024 г. INC Ransom обявява на стария си сайт, че ще се премести в нов „блог“ за изнудване за изтичане на данни, и споделя нов TOR адрес, като заявява, че старият сайт ще бъде затворен след два до три месеца.

Новият сайт вече е готов, а списъците с жертви се припокриват със стария портал, както и с дванадесет нови жертви, които не се виждат на стария сайт.

Общо в списъка на новия сайт има 64 жертви (12 нови), докато в стария има 91 публикации, така че липсват приблизително половината от миналите жертви на INC.

„Разминаванията между двата сайта могат да подскажат, че при операцията може да е настъпила промяна в ръководството или разделяне на различни групи“, коментират анализаторите на KELA.

„Въпреки това фактът, че „salfetka“ е посочил и двата сайта като свои предполагаеми проекти, предполага, че  не е свързан само с една част от операцията.“

„В този случай е възможно новият блог да е създаден в опит да се получат по-големи печалби от продажбата.“

Заслужава да се отбележи също така, че дизайнът на новата изнудваческа страница на INC визуално наподобява този на Hunters International, което може да показва връзка с другата RaaS операция.

За разлика от публичното изтичане на информация, което позволява на анализаторите по сигурността да разбият криптирането на даден щам на ransomware, частните продажби на изходния код на щамове, за които няма наличен декриптор, могат да създадат повече проблеми на организациите по света.

Тези създатели на рансъмуер се купуват от силно мотивирани заплахи, които току-що навлизат в пространството, или от полуутвърдени групи, които искат да подобрят играта си, използвайки по-стабилен и добре изпитан криптограф.

Това е особено вярно, когато се предлага версия за Linux/ESXi, която обикновено е по-трудна за разработване и по-скъпа за придобиване.

Когато бандите за изнудване се преименуват, те обикновено използват отново голяма част от изходния код на старите си криптори, което позволява на изследователите да свържат по-старите банди с новите операции.

Използването на криптори на други операции  също може да помогне за промяна на марката, тъй като обърква следите за правоприлагащите органи и изследователите.

 

 

Източник: e-security.bg

Подобни публикации

Време е да се справим с проблема със сигурностт...

Софтуерните компании от десетилетия се основават на отворен код. Се...
15 юни 2024

Чък Робинс: "Нашата работа е да не се проваляме"

Бившият главен изпълнителен директор на Splunk Гари Стил се ангажир...

Наследените технологии пречат на дигиталната тр...

Според ново проучване остарелите наследени технологии пречат на орг...
15 юни 2024

Европол започва лов на отделни киберпрестъпници

След впечатляващото разбиване на ботнет само преди няколко дни межд...
14 юни 2024

Засилени киберзаплахи пред Евро 2024

Евро 2024  в Германия започва след няколко часа и ще завърши след м...

Ню Йорк Таймс предупреждава фрийлансърите си за...

Ню Йорк Таймс уведоми неразкрит брой сътрудници, че част от чувстви...
14 юни 2024

YouTube преминава към инжектиране на реклами от...

Съобщава се, че YouTube вече вкарва реклами директно във видеопотоц...
Бъдете социални
Още по темата
14/06/2024

Рансъмуерът Fog се насочва ...

Нова група хакери криптира данни във...
13/06/2024

Украинската киберполиция ар...

Украинската киберполиция е арестувала 28-годишен руснак...
13/06/2024

Група за рансъмуер вече се ...

Обявена наскоро  уязвимост в PHP, за...
Последно добавени
15/06/2024

Време е да се справим с про...

Софтуерните компании от десетилетия се основават...
15/06/2024

Чък Робинс: "Нашата работа ...

Бившият главен изпълнителен директор на Splunk...
15/06/2024

Наследените технологии преч...

Според ново проучване остарелите наследени технологии...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!