Codice sorgente ransomware INC in vendita: cybercriminali divisi e nuove minacce

Redazione RHC : 16 Maggio 2024 11:15

I ricercatori hanno notato che il codice sorgente del ransomware INC (noto anche come Inc Ransom), che operava nell’ambito dello schema Ransomware-as-a-Service (RaaS) dall’agosto 2023, era stato messo in vendita sulla darknet.

Ricordiamo che in precedenza grandi aziende come la divisione americana di Xerox Business Solutions , la divisione filippina di Yamaha Motor e il National Health Service of Scotland (NHS) erano vittime dell’INC.

Gli analisti di KELA, hanno riportato che non solo il codice sorgente del ransomware è stato messo in vendita, ma è probabile che si sia verificata una divisione tra i membri del gruppo di hacker criminali.

Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber

«Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi». Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Così qualcuno con lo pseudonimo salfetka ha annunciato la vendita delle versioni Windows e Linux/ESXi di INC sui forum degli hacker Exploit e XSS, chiedendo 300.000 per il malware e limitando a soli tre il numero dei potenziali acquirenti.

Secondo KELA, i dettagli tecnici menzionati negli annunci di vendita (incluso l’uso di AES-128 in modalità CTR e l’algoritmo Curve25519) sono coerenti con la precedente analisi pubblica dei campioni di INC Ransom.

Inoltre, gli esperti notano che salfetka è attiva nei forum degli hacker da marzo 2024. Ad esempio, in precedenza aveva tentato di acquistare l’accesso alla rete di un’organizzazione anonima per 7.000 dollari e aveva offerto al venditore una parte del riscatto che avrebbe ricevuto in un futuro attacco estorsivo. Inoltre, la firma di salfetka elenca gli URL delle vecchie e delle nuove pagine di INC Ransom, il che indica anche la sua probabile connessione al ransomware.

Tuttavia, i ricercatori non escludono che la vendita dei codici sorgente possa essere fraudolenta e Salfteka ha preparato appositamente questo resoconto per diversi mesi.

Allo stesso tempo, attualmente né sul vecchio né sul nuovo sito web dell’INC ci sono state dichiarazioni pubbliche sulla vendita del codice sorgente del progetto.

I ricercatori spiegano che il 1 maggio 2024 il gruppo ha annunciato sul suo vecchio sito web che si sarebbe trasferito su un nuovo “blog” e ha indicato un nuovo indirizzo Tor, precisando che il vecchio sito sarebbe stato chiuso in due a tre mesi. Il nuovo sito è già funzionante e l’elenco delle vittime su di esso comprende alcune aziende che apparivano sul vecchio portale, ma i dati di altre dodici nuove vittime che non erano sulla vecchia risorsa sono pubblicati qui.

In totale, il “blog” del gruppo elenca 64 vittime (12 nuove), mentre il vecchio sito conteneva informazioni su 91 aziende colpite. Mancano cioè i dati su circa la metà delle vittime passate dell’INC.

“Le discrepanze tra i due siti potrebbero indicare un cambiamento nella leadership o una divisione in diversi gruppi“, hanno detto gli analisti di KELA. “Tuttavia, il fatto che Salfetka si riferisca ad entrambi i siti come suoi progetti suggerisce che potrebbe essere associato ad entrambi. In questo caso è possibile che il nuovo blog sia stato creato nel tentativo di trarre maggiore profitto dalla vendita”.

Gli esperti scrivono che, a differenza della fuga pubblica di codici sorgente di malware, che di solito consente agli analisti di crackare il ransomware, la vendita privata di codici sorgente di ransomware per i quali non esiste un decryptor può creare molti problemi alle organizzazioni di tutto il mondo.

Di norma, tali builder vengono acquistati da aggressori altamente motivati ​​che sono appena entrati in questo campo o da gruppi di hacker già affermati che desiderano aumentare la propria efficienza utilizzando un crittografo più affidabile e comprovato. Ciò è particolarmente vero se è disponibile una versione Linux/ESXi, che solitamente è più difficile da sviluppare e acquistare.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli