هکری با نام مستعار “salfetka” ادعا می کند که سورس کد باج افزار INC Ransom را می فروشد. این ابزار یک باج افزار به عنوان یک سرویس (RaaS) می باشد که در آگوست 2023 راه اندازی شده است.
INC قبلاً بخش ایالات متحده Xerox Business Solutions (XBS)، یاماها موتور فیلیپین، و اخیراً، خدمات بهداشت ملی اسکاتلند (NHS) را هدف قرار داده است. همزمان با ادعای فروش این باج افزار ، عملیات INC Ransom دستخوش تغییراتی می شود که ممکن است نشان دهنده شکاف بین اعضای اصلی تیم آن باشد یا قصد دارد به فصل جدیدی که شامل استفاده از یک رمزگذار جدید است، حرکت کند.
فروش کد منبع
این هکر سورس کد را انجمن های هک و امنیت به قیمت 300000 دلار به فروش می رساند و گفته است که تعداد فروش فقط ۳ نفر است. بر اساس اطلاعاتی که کارشناسان اطلاعات تهدید در KELA ارائه کردند و فروش را مشاهده کردند، جزئیات فنی ذکر شده در پست انجمن، مانند استفاده از AES-128 در حالت CTR و الگوریتمهای Curve25519 Donna، با تجزیه و تحلیل عمومی INC Ransom مطابقت دارد.
KELA همچنین بیان کرده است که “salfetka” از مارس 2024 در انجمنهای هک فعال بوده است. بازیگر تهدید قبلاً به دنبال خرید دسترسی به شبکه تا سقف 7000 دلار بود و به واسطهها دسترسی اولیه را از درآمدهای حمله باجافزار کاهش داد. نکته دیگری که نشان دهنده درستی این موضوع است این است که فرد هکر،” نشانیهای اینترنتی صفحه INC Ransom قدیمی و جدید را در امضای آنها شامل میشود را ارائه داده است .
با این حال، فروش ممکن است یک کلاهبرداری باشد، زیرا بازیگر تهدید با دقت حساب کاربری “salfetka” را در چند ماه گذشته مدیریت کرده است، علاقه خود را برای خرید دسترسی به شبکه اعلام کرده و برای اینکه پیشنهاد قانونی به نظر برسد، قیمت بالایی تعیین کرده است. در حال حاضر، هیچ اطلاعیه عمومی در سایت قدیمی یا جدید INC در مورد فروش کد منبع پروژه وجود ندارد.
انتقال INC Ransom به یک سایت جدید
در 1 می 2024، INC Ransom در سایت نشت قدیمی خود اعلام کرد که به یک سایت جدید در Tor نقل مکان میکند و انجا اطلاعات را قرار میدهد.
سایت جدید در حال حاضر راه اندازی شده است، و تعدادی همپوشانی در لیست قربانیان با پورتال قدیمی وجود دارد، و دوازده قربانی جدید که در سایت قدیمی دیده نمی شوند. در مجموع، سایت جدید 64 قربانی (12 نفر جدید) را فهرست کرده است، در حالی که سایت قبلی 91 پست دارد، بنابراین تقریباً نیمی از قربانیان گذشته INC مفقود شده اند.
تحلیلگران KELA اظهار داشتند: “اختلافات بین دو سایت ممکن است نشان دهد که یک عملیات ممکن است با تغییر رهبری یا تقسیم شدن به گروه های مختلف روبرو شده باشد.” با این حال، این واقعیت که “salfetka” به هر دو سایت به عنوان پروژه های ادعایی خود اشاره کرده است، نشان می دهد که این بازیگر تنها به یک بخش از عملیات مربوط نمی شود.” در این صورت ممکن است که وبلاگ جدید به منظور کسب سود بیشتر از فروش ایجاد شده باشد. همچنین شایان ذکر است که طراحی صفحه باج افزار جدید INC شبیه Hunters International است که می تواند نشان دهنده ارتباط با سایر عملیات RaaS باشد.
برخلاف افشای عمومی که به تحلیلگران امنیتی اجازه میدهد رمزگذاری یک نوع باجافزار را بشکنند، فروش سورس کد باج افزار می تواند مشکلات بیشتری را برای سازمانها در سراسر جهان ایجاد کند.
این امر به ویژه زمانی صادق است که یک نسخه لینوکس/ESXi ارائه شود، که به طور کلی توسعه آن چالش برانگیزتر و خرید آن پرهزینه تر است. هنگامی که باجافزارهای باجافزاری تغییر نام میدهند، معمولاً از بسیاری از کد منبع رمزنگارهای قدیمی خود مجددا استفاده میکنند و به محققان این امکان را میدهند تا باندهای قدیمیتر را به عملیات جدید مرتبط کنند.
