Търсене
Close this search box.

Киберпрестъпник, използващ името „salfetka“, твърди, че продава изходния код на INC Ransom – операция за получаване на откуп като услуга (RaaS), стартирана през август 2023 г.

Преди това INC се е насочвал към американското подразделение на Xerox Business Solutions (XBS), Yamaha Motor Philippines, а наскоро и към Националната здравна служба на Шотландия (NHS).

Едновременно с предполагаемата продажба операцията INC Ransom претърпява промени, които могат да подскажат разрив между основните членове на екипа или планове за преминаване към нова глава, която ще включва използването на нов криптограф.

Продажба на изходен код

Извършителят на заплахата обяви продажбата на версиите на INC за Windows и Linux/ESXi на хакерските форуми Exploit and XSS, като поиска 300 000 USD и ограничи броя на потенциалните купувачи само до трима.

Според информацията, предоставена на медиите от експертите по разузнаване на заплахите в KELA, които са забелязали продажбата, техническите подробности, споменати в публикацията във форума, като например използването на AES-128 в режим CTR и алгоритмите Curve25519 Donna, съвпадат с публичния анализ на образците на INC Ransom.

KELA също така съобщи, че „salfetka“ е активен в хакерските форуми от март 2024 г. насам. Преди това той е искал да закупи достъп до мрежата за сума до 7000 долара и е предлагал на брокерите на първоначалния достъп да намалят приходите от атаки с рансъмуер.

Друг момент, който придава легитимност на продажбата, е, че „salfetka“ включва в подписа си URL адресите както на старата, така и на новата страница INC Ransom, което показва, че е свързан с операцията за откуп.

Все пак продажбата може да е измама, като през последните няколко месеца хакерът внимателно е подържал акаунта „salfetka“, декларирал е интерес към закупуване на достъп до мрежата и е определил висока цена, за да изглежда офертата легитимна.

Понастоящем на стария или новия сайт на INC няма публични съобщения за продажба на изходния код на проекта.

INC Ransom се премества на нов сайт

На 1 май 2024 г. INC Ransom обявява на стария си сайт, че ще се премести в нов „блог“ за изнудване за изтичане на данни, и споделя нов TOR адрес, като заявява, че старият сайт ще бъде затворен след два до три месеца.

Новият сайт вече е готов, а списъците с жертви се припокриват със стария портал, както и с дванадесет нови жертви, които не се виждат на стария сайт.

Общо в списъка на новия сайт има 64 жертви (12 нови), докато в стария има 91 публикации, така че липсват приблизително половината от миналите жертви на INC.

„Разминаванията между двата сайта могат да подскажат, че при операцията може да е настъпила промяна в ръководството или разделяне на различни групи“, коментират анализаторите на KELA.

„Въпреки това фактът, че „salfetka“ е посочил и двата сайта като свои предполагаеми проекти, предполага, че  не е свързан само с една част от операцията.“

„В този случай е възможно новият блог да е създаден в опит да се получат по-големи печалби от продажбата.“

Заслужава да се отбележи също така, че дизайнът на новата изнудваческа страница на INC визуално наподобява този на Hunters International, което може да показва връзка с другата RaaS операция.

За разлика от публичното изтичане на информация, което позволява на анализаторите по сигурността да разбият криптирането на даден щам на ransomware, частните продажби на изходния код на щамове, за които няма наличен декриптор, могат да създадат повече проблеми на организациите по света.

Тези създатели на рансъмуер се купуват от силно мотивирани заплахи, които току-що навлизат в пространството, или от полуутвърдени групи, които искат да подобрят играта си, използвайки по-стабилен и добре изпитан криптограф.

Това е особено вярно, когато се предлага версия за Linux/ESXi, която обикновено е по-трудна за разработване и по-скъпа за придобиване.

Когато бандите за изнудване се преименуват, те обикновено използват отново голяма част от изходния код на старите си криптори, което позволява на изследователите да свържат по-старите банди с новите операции.

Използването на криптори на други операции  също може да помогне за промяна на марката, тъй като обърква следите за правоприлагащите органи и изследователите.

 

 

Източник: e-security.bg

Подобни публикации

4 октомври 2024

Русия арестува 96 души, свързани с прекъснати о...

Тази седмица руските власти обявиха, че са арестували 96 души по по...
4 октомври 2024

Използвана уязвимост на Ivanti EPM

Тази седмица Ivanti и американската агенция за киберсигурност CISA ...
4 октомври 2024

Холандското правителство обвинява АРТ за хакван...

Министърът на правосъдието заяви пред депутатите, че кибератаката, ...
3 октомври 2024

Криптопортфейли, насочени чрез пакети за Python...

Потребителите на популярни портфейли за криптовалута са били обект ...
3 октомври 2024

САЩ и техните съюзници издават ръководство за з...

Нови насоки от правителствени агенции в САЩ и съюзнически държави п...
3 октомври 2024

MITRE добавя смекчаващи мерки към модела на зап...

Във вторник (в България сряда )MITRE обяви пълната версия на модела...
3 октомври 2024

Пробив с нулев ден в Rackspace Sparks Vendor B...

Корпоративният хост за облачни услуги Rackspace е бил хакнат чрез н...
3 октомври 2024

Рекордна DDoS атака достигна 3,8 Tbps и 2,14 м...

Фирмата за уеб производителност и сигурност Cloudflare наскоро смек...
Бъдете социални
Още по темата
02/10/2024

Нови арести за LockBit

Правоприлагащите органи от 12 държави арестуваха...
02/10/2024

Здравната система на UMC от...

Здравната система UMC Health System в...
02/10/2024

Нарушението на данните на P...

Кредитният съюз Patelco е информирал властите,...
Последно добавени
04/10/2024

Русия арестува 96 души, свъ...

Тази седмица руските власти обявиха, че...
04/10/2024

Използвана уязвимост на Iva...

Тази седмица Ivanti и американската агенция...
04/10/2024

Холандското правителство об...

Министърът на правосъдието заяви пред депутатите,...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!