Ransomware à venda por 300 mil dólares
14 de Maio de 2024

Um cibercriminoso que usa o nome "salfetka" afirma estar vendendo o código-fonte do INC Ransom, uma operação de ransomware-as-a-service (RaaS) lançada em agosto de 2023.

O INC já teve como alvos a divisão dos EUA da Xerox Business Solutions (XBS), a Yamaha Motor Filipinas e, mais recentemente, o Serviço Nacional de Saúde (NHS) da Escócia.

Simultaneamente com a suposta venda, a operação INC Ransom está passando por mudanças que podem sugerir uma divisão entre seus membros principais da equipe ou planos para avançar para um novo capítulo que envolverá o uso de um novo encryptor.

O ator da ameaça anunciou a venda das versões Windows e Linux/ESXi do INC nos fóruns de hacking Exploit e XSS, pedindo US$ 300.000 e limitando o número de compradores potenciais a apenas três.

Segundo informações de especialistas em inteligência de ameaças da KELA, que observaram a venda, os detalhes técnicos mencionados na postagem do fórum, como o uso do AES-128 em modo CTR e algoritmos Curve25519 Donna, estão alinhados com análises públicas de amostras do INC Ransom.

A KELA também informou que "salfetka" está ativo nos fóruns de hacking desde março de 2024.

Anteriormente, o ator da ameaça procurava comprar acesso à rede por até US$ 7.000 e ofereceu uma parte dos lucros de ataques de ransomware a corretores de acesso inicial.

Outro ponto que adiciona legitimidade à venda é "salfetka" incluir ambos os URLs das páginas antigas e novas do INC Ransom em sua assinatura, indicando que eles estão afiliados com a operação de ransomware.

No entanto, a venda pode ser uma fraude, com o ator da ameaça cuidadosamente curando a conta "salfetka" nos últimos meses, declarando interesse em comprar acesso à rede e estabelecendo um preço alto para fazer a oferta parecer legítima.

Atualmente, não há anúncios públicos nos sites antigos ou novos do INC sobre a venda do código-fonte do projeto.

Em 1º de maio de 2024, o INC Ransom anunciou em seu antigo site de vazamentos que se mudaria para um novo blog de extorsão de vazamento de dados e compartilhou um novo endereço TOR, declarando que o site antigo seria fechado em dois a três meses.

O novo site já está ativo, e há alguma sobreposição nas listas de vítimas com o portal antigo, e doze novas vítimas não vistas no site antigo.

No total, o novo site lista 64 vítimas (12 novas), enquanto o antigo tem 91 posts, então, aproximadamente metade das vítimas passadas do INC está faltando.

"As discrepâncias entre os dois sites podem sugerir que uma operação pode ter passado por uma mudança de liderança ou divisão em diferentes grupos," comentaram os analistas da KELA.

"No entanto, o fato de 'salfetka' ter referenciado ambos os sites como seus projetos supostos sugere que o ator não está relacionado apenas a uma parte da operação."

"Neste caso, é possível que o novo blog tenha sido criado em uma tentativa de obter mais lucros com a venda."

Também vale a pena notar que o design da nova página de extorsão do INC se assemelha visualmente ao da Hunters International, o que poderia indicar uma conexão com a outra operação RaaS.

Ao contrário de um vazamento público que permite aos analistas de segurança quebrar a criptografia de uma cepa de ransomware, vendas privadas do código-fonte de cepas para as quais não há um decryptor disponível têm o potencial de criar mais problemas para organizações em todo o mundo.

Esses construtores de ransomware são comprados por atores de ameaças altamente motivados que estão apenas entrando no espaço ou grupos semi-estabelecidos que procuram melhorar seu jogo usando um encryptor mais robusto e bem testado.

Isso é especialmente verdadeiro quando uma versão Linux/ESXi está em oferta, o que geralmente é mais desafiador de desenvolver e mais caro de adquirir.

Quando gangues de ransomware se rebrandeiam, elas comumente reutilizam grande parte do código-fonte de seus antigos encryptors, permitindo que pesquisadores vinculem gangues antigas a novas operações.

Usar os encryptors de outras operações de ransomware também pode ajudar no rebranding pois dificulta o rastreamento por parte das autoridades e pesquisadores.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...