Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Redazione RHC : 16 Maggio 2024 11:15
I ricercatori hanno notato che il codice sorgente del ransomware INC (noto anche come Inc Ransom), che operava nell’ambito dello schema Ransomware-as-a-Service (RaaS) dall’agosto 2023, era stato messo in vendita sulla darknet.
Ricordiamo che in precedenza grandi aziende come la divisione americana di Xerox Business Solutions , la divisione filippina di Yamaha Motor e il National Health Service of Scotland (NHS) erano vittime dell’INC.
Gli analisti di KELA, hanno riportato che non solo il codice sorgente del ransomware è stato messo in vendita, ma è probabile che si sia verificata una divisione tra i membri del gruppo di hacker criminali.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Così qualcuno con lo pseudonimo salfetka ha annunciato la vendita delle versioni Windows e Linux/ESXi di INC sui forum degli hacker Exploit e XSS, chiedendo 300.000 per il malware e limitando a soli tre il numero dei potenziali acquirenti.
Secondo KELA, i dettagli tecnici menzionati negli annunci di vendita (incluso l’uso di AES-128 in modalità CTR e l’algoritmo Curve25519) sono coerenti con la precedente analisi pubblica dei campioni di INC Ransom.
Inoltre, gli esperti notano che salfetka è attiva nei forum degli hacker da marzo 2024. Ad esempio, in precedenza aveva tentato di acquistare l’accesso alla rete di un’organizzazione anonima per 7.000 dollari e aveva offerto al venditore una parte del riscatto che avrebbe ricevuto in un futuro attacco estorsivo. Inoltre, la firma di salfetka elenca gli URL delle vecchie e delle nuove pagine di INC Ransom, il che indica anche la sua probabile connessione al ransomware.
Tuttavia, i ricercatori non escludono che la vendita dei codici sorgente possa essere fraudolenta e Salfteka ha preparato appositamente questo resoconto per diversi mesi.
Allo stesso tempo, attualmente né sul vecchio né sul nuovo sito web dell’INC ci sono state dichiarazioni pubbliche sulla vendita del codice sorgente del progetto.
I ricercatori spiegano che il 1 maggio 2024 il gruppo ha annunciato sul suo vecchio sito web che si sarebbe trasferito su un nuovo “blog” e ha indicato un nuovo indirizzo Tor, precisando che il vecchio sito sarebbe stato chiuso in due a tre mesi. Il nuovo sito è già funzionante e l’elenco delle vittime su di esso comprende alcune aziende che apparivano sul vecchio portale, ma i dati di altre dodici nuove vittime che non erano sulla vecchia risorsa sono pubblicati qui.
In totale, il “blog” del gruppo elenca 64 vittime (12 nuove), mentre il vecchio sito conteneva informazioni su 91 aziende colpite. Mancano cioè i dati su circa la metà delle vittime passate dell’INC.
“Le discrepanze tra i due siti potrebbero indicare un cambiamento nella leadership o una divisione in diversi gruppi“, hanno detto gli analisti di KELA. “Tuttavia, il fatto che Salfetka si riferisca ad entrambi i siti come suoi progetti suggerisce che potrebbe essere associato ad entrambi. In questo caso è possibile che il nuovo blog sia stato creato nel tentativo di trarre maggiore profitto dalla vendita”.
Gli esperti scrivono che, a differenza della fuga pubblica di codici sorgente di malware, che di solito consente agli analisti di crackare il ransomware, la vendita privata di codici sorgente di ransomware per i quali non esiste un decryptor può creare molti problemi alle organizzazioni di tutto il mondo.
Di norma, tali builder vengono acquistati da aggressori altamente motivati che sono appena entrati in questo campo o da gruppi di hacker già affermati che desiderano aumentare la propria efficienza utilizzando un crittografo più affidabile e comprovato. Ciò è particolarmente vero se è disponibile una versione Linux/ESXi, che solitamente è più difficile da sviluppare e acquistare.
Redazione14 maggio 2025 – Nelle prime ore di questa mattina, sul forum underground russo XSS, noto per essere una vetrina di primo piano per la compravendita di dati compromessi, è apparso un post ...
Diversi bug di sicurezza sono stati pubblicati recentemente sui prodotti Fortinet, i quali consentono agli aggressori di aggirare l’autenticazione e ottenere l’accesso amministrativo ai ...
Sabato 9 maggio, al Teatro Italia di Roma, si è chiusa la Red Hot Cyber Conference 2025, l’appuntamento annuale gratuito creato dalla community di RHC dedicato alla sicurezza informatica, ...
La banda di criminali informatici di NOVA rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico al Comune di Pisa. Disclaimer: Questo rapporto include screenshot e/o tes...
Un grave attacco informatico ha colpito l’infrastruttura digitale dell’Università nella notte tra l’8 e il 9 maggio, causando l’interruzione improvvisa dei servizi onl...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
