Как переход программы в другие группировки отразится на общем ландшафте кибербезопасности?
Киберпреступник под никнеймом «salfetka» заявил о продаже исходного кода программы-вымогателя INC Ransom. Эта программа была запущена в августе 2023 года и с тех пор функционирует по RaaS-модели. Ранее при помощи INC Ransom было атаковано подразделение Xerox Business Solutions в США, Yamaha Motor на Филиппинах, а также Национальная служба здравоохранения Шотландии.
Одновременно с объявлением о продаже, исследователи безопасности начали наблюдать некоторые изменения в работе группы, ответственной за распространение вредоноса. Это может свидетельствовать о разногласиях среди её участников или о планах перехода на новый этап, который включает использование нового шифровальщика.
Хакер «salfetka» выставил на продажу версии программы INC Ransom для Windows и Linux/ESXi на форумах Exploit и XSS за $300 000. По данным экспертов KELA, технические детали, указанные в объявлении, такие как использование алгоритмов AES-128 в режиме CTR и Curve25519 Donna, совпадают с публичными анализами образцов INC Ransom.
Согласно информации KELA, «salfetka» активно переписывается на хакерских форумах лишь с марта 2024 года. Ранее этот пользователь хотел купить доступ к целевой сети на сумму до 7000 долларов и предлагал брокерам начального доступа сократить доходы от атак программ-вымогателей.
Тем не менее, киберэксперты считают, что продажа может оказаться мошенничеством. Хакер «salfetka» мог тщательно подготавливать свой аккаунт, чтобы создать видимость легитимности предложения. Более того, на официальных ресурсах INC Ransom пока не было никаких публичных заявлений о продаже исходного кода.
В пользу хакера работает лишь тот факт, что продавать код он планирует через посредника-гаранта, что может снизить риски для потенциального покупателя.
В начале мая группировка INC Ransom объявила о переезде на новый веб-сайт и поделилась его адресом в сети TOR, сообщив, что старый сайт будет закрыт через два-три месяца. Более никакой информации, хотя бы косвенно связанной с продажей исходного кода, от группы не поступало.
Новый дизайн страницы вымогателей визуально напоминает Hunters International, что может указывать на связь с другой RaaS-группировкой. Использование исходного кода другой операции может затруднить работу правоохранительных органов и исследователей.
Тем временем, приватная продажа исходного кода программ-вымогателей, для которых нет доступных дешифраторов, также может создать новые проблемы для организаций по всему миру. Эти программы покупают мотивированные хакеры, стремящиеся улучшить свои инструменты с помощью более надёжного и проверенного вредоносного кода. Особенно это актуально для Linux/ESXi-версии, разработка которой, в целом, гораздо сложнее и обходится дороже.
Искусственный интеллект уже умнее вас. Как не стать рабом машин?
Узнайте у нас!
Зеркала сайта Kraken в даркнете предоставляют пользователям доступ к платформе анонимных покупок, когда основной адрес недоступен. Однако, как и с любым ресурсом в даркнете, важно быть осторожными, использовать проверенные ссылки и знать о возможных рисках. Обеспечение безопасности и анонимности — ключевые моменты при использовании таких платформ.
Как пользоваться зеркалом Kraken:
-
Установите Tor: Чтобы получить доступ к зеркалу, пользователям необходимо установить Tor-браузер, который обеспечивает анонимное соединение и защиту данных.
-
Используйте VPN: Рекомендуется использовать VPN для дополнительной безопасности, так как это помогает скрыть ваш реальный IP-адрес.
-
Ищите актуальные ссылки: Поскольку зеркала могут изменяться, важно искать проверенные и актуальные ссылки. Вы можете получить их из надежных источников или сообществ, которые обсуждают даркнет.
-
Проверка безопасности: Прежде чем вводить свои данные или совершать сделки, убедитесь, что вы находитесь на безопасном зеркале. Это можно сделать, проверив отзывы и репутацию сайта.
