Как переход программы в другие группировки отразится на общем ландшафте кибербезопасности?
Киберпреступник под никнеймом «salfetka» заявил о продаже исходного кода программы-вымогателя INC Ransom. Эта программа была запущена в августе 2023 года и с тех пор функционирует по RaaS-модели. Ранее при помощи INC Ransom было атаковано подразделение Xerox Business Solutions в США, Yamaha Motor на Филиппинах, а также Национальная служба здравоохранения Шотландии.
Одновременно с объявлением о продаже, исследователи безопасности начали наблюдать некоторые изменения в работе группы, ответственной за распространение вредоноса. Это может свидетельствовать о разногласиях среди её участников или о планах перехода на новый этап, который включает использование нового шифровальщика.
Хакер «salfetka» выставил на продажу версии программы INC Ransom для Windows и Linux/ESXi на форумах Exploit и XSS за $300 000. По данным экспертов KELA, технические детали, указанные в объявлении, такие как использование алгоритмов AES-128 в режиме CTR и Curve25519 Donna, совпадают с публичными анализами образцов INC Ransom.
Согласно информации KELA, «salfetka» активно переписывается на хакерских форумах лишь с марта 2024 года. Ранее этот пользователь хотел купить доступ к целевой сети на сумму до 7000 долларов и предлагал брокерам начального доступа сократить доходы от атак программ-вымогателей.
Тем не менее, киберэксперты считают, что продажа может оказаться мошенничеством. Хакер «salfetka» мог тщательно подготавливать свой аккаунт, чтобы создать видимость легитимности предложения. Более того, на официальных ресурсах INC Ransom пока не было никаких публичных заявлений о продаже исходного кода.
В пользу хакера работает лишь тот факт, что продавать код он планирует через посредника-гаранта, что может снизить риски для потенциального покупателя.
В начале мая группировка INC Ransom объявила о переезде на новый веб-сайт и поделилась его адресом в сети TOR, сообщив, что старый сайт будет закрыт через два-три месяца. Более никакой информации, хотя бы косвенно связанной с продажей исходного кода, от группы не поступало.
Новый дизайн страницы вымогателей визуально напоминает Hunters International, что может указывать на связь с другой RaaS-группировкой. Использование исходного кода другой операции может затруднить работу правоохранительных органов и исследователей.
Тем временем, приватная продажа исходного кода программ-вымогателей, для которых нет доступных дешифраторов, также может создать новые проблемы для организаций по всему миру. Эти программы покупают мотивированные хакеры, стремящиеся улучшить свои инструменты с помощью более надёжного и проверенного вредоносного кода. Особенно это актуально для Linux/ESXi-версии, разработка которой, в целом, гораздо сложнее и обходится дороже.
Большой взрыв знаний каждый день в вашем телефоне