Вымогатель INC выставлен на продажу за 300 000 долларов - «Новости» » Интернет технологии
sitename
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Зарубежные SIM-карты больше не позволяют обходить блокировки - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Один из разработчиков OpenMandriva Linux пытался саботировать проект - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
Microsoft исправила уязвимость RoguePlanet. Исследователь утверждает, что патч опасен - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
СМИ: пользователей хостинга могут обязать проходить идентификацию через «Госуслуги» - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Администраторам Progress рекомендовали срочно отключить серверы ShareFile - «Новости»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
Tesla разгромила собственный завод по производству Model S и Model X во Фримонте - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
«Уэбб» помог изучить атмосферу планеты, пережившей смерть своей звезды - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Sony удалось остановить лавину негатива из-за отмены дисков — сработал анонс портов двух старых игр - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
Google представила ИИ-модель для мониторинга здоровья, обученную на триллионе минут данных носимых устройств - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
У ИИ-модели OpenAI GPT-5.6 Sol нашли такие же уязвимости, как у Fable 5 - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Вымогатель INC выставлен на продажу за 300 000 долларов - «Новости»

Исследователи заметили, что в даркнете выставили на продажу исходный код вымогателя INC (он же Inc Ransom), который работал по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS) с августа 2023 года.


Напомним, что ранее жертвами INC становились такие крупные компании, как американское подразделение Xerox Business Solutions, филиппинское подразделение Yamaha Motor, а Национальная служба здравоохранения Шотландии (NHS).


Теперь же, по информации издания Bleeping Computer, которое ссылается на информацию, полученную от аналитиков компании KELA, исходники вымогателя не только выставлены на продажу, но между членами хак-группы, вероятно, произошел раскол.


Так, некто под ником salfetka объявил о продаже Windows- и Linux/ESXi версий INC на хакерских форумах Exploit и XSS, запросив за малварь 300 000 и ограничив число потенциальных покупателей всего тремя.





По данным KELA, технические детали, упомянутые в сообщениях о продаже (включая использование AES-128 в режиме CTR и алгоритма Curve25519 Donna), согласуются проведенным ранее публичным анализом образцов INC Ransom.


Кроме того, эксперты отмечают, что salfetka активен на хакерских форумах с марта 2024 года. К примеру, ранее он пытался купить доступ к сети неназванной организации за 7000 долларов и предлагал продавцу долю от выкупа, который будет получен в ходе будущей вымогательской атаки. К тому же в подписи salfetka перечислены URL-адреса старой и новой страниц INC Ransom, что тоже указывает на его вероятную связь с вымогательским ПО.


Тем не менее, исследователи не исключают, что продажа исходников может оказаться мошенничеством, а salfteka специально готовил этот аккаунт на протяжении нескольких месяцев.


При этом в настоящее время ни на старом, ни на новом сайте INC не было публичных заявлений о продаже исходного кода проекта.


Исследователи объясняют, что 1 мая 2024 года группировка объявила на своем старом сайте (слева на иллюстрации ниже) о переезде в новый «блог» и указала новый Tor-адрес, заявив, что старый сайт будет закрыт через два-три месяца. Новый сайт (справа на иллюстрации ниже) уже работает, и в списке жертв на нем причислены  ряд компаний, которые фигурировали и на старом портале, однако здесь опубликованы данные еще двенадцати новых жертв, которых на старом ресурсе не было.




Суммарно в «блоге» группировки перечислены 64 жертвы (12 новых), в то время как на старом стайте была информация о 91 пострадавшей компании. То есть данные примерно о половине прошлых жертв INC пропали.


«Расхождения между двумя сайтами могут свидетельствовать о смене руководства или расколе на разные группы, — считают аналитики KELA. — Однако тот факт, что salfetka ссылается на оба сайта, как на свои проекты, говорит о том, что он может быть связан с ними обоими. В этом случае не исключено, что новый блог создан в попытке получить больше прибыли от продажи».


Специалисты пишут, что в отличие от публичной утечки исходных кодов малвари, обычно позволяющей аналитикам взломать шифровальщика, приватная продажа исходников вымогателя, для которого не существует дешифратора, может создать множество проблем для организаций по всему миру.


Как правило, такие билдеры покупают высокомотивированные злоумышленники, только пришедшие в эту сферу, или уже сложившиеся хак-группы, желающие повысить свою эффективность, используя более надежный и проверенный шифровальщик. Это особенно актуально, если в продаже появилась версия для Linux/ESXi, которую обычно сложнее разработать и приобрести.


Исследователи заметили, что в даркнете выставили на продажу исходный код вымогателя INC (он же Inc Ransom), который работал по схеме Ransomware-as-a-Service («Вымогатель-как-услуга», RaaS) с августа 2023 года. Напомним, что ранее жертвами INC становились такие крупные компании, как американское подразделение Xerox Business Solutions, филиппинское подразделение Yamaha Motor, а Национальная служба здравоохранения Шотландии (NHS). Теперь же, по информации издания Bleeping Computer, которое ссылается на информацию, полученную от аналитиков компании KELA, исходники вымогателя не только выставлены на продажу, но между членами хак-группы, вероятно, произошел раскол. Так, некто под ником salfetka объявил о продаже Windows- и Linux/ESXi версий INC на хакерских форумах Exploit и XSS, запросив за малварь 300 000 и ограничив число потенциальных покупателей всего тремя. По данным KELA, технические детали, упомянутые в сообщениях о продаже (включая использование AES-128 в режиме CTR и алгоритма Curve25519 Donna), согласуются проведенным ранее публичным анализом образцов INC Ransom. Кроме того, эксперты отмечают, что salfetka активен на хакерских форумах с марта 2024 года. К примеру, ранее он пытался купить доступ к сети неназванной организации за 7000 долларов и предлагал продавцу долю от выкупа, который будет получен в ходе будущей вымогательской атаки. К тому же в подписи salfetka перечислены URL-адреса старой и новой страниц INC Ransom, что тоже указывает на его вероятную связь с вымогательским ПО. Тем не менее, исследователи не исключают, что продажа исходников может оказаться мошенничеством, а salfteka специально готовил этот аккаунт на протяжении нескольких месяцев. При этом в настоящее время ни на старом, ни на новом сайте INC не было публичных заявлений о продаже исходного кода проекта. Исследователи объясняют, что 1 мая 2024 года группировка объявила на своем старом сайте (слева на иллюстрации ниже) о переезде в новый «блог» и указала новый Tor-адрес, заявив, что старый сайт будет закрыт через два-три месяца. Новый сайт (справа на иллюстрации ниже) уже работает, и в списке жертв на нем причислены ряд компаний, которые фигурировали и на старом портале, однако здесь опубликованы данные еще двенадцати новых жертв, которых на старом ресурсе не было. Суммарно в «блоге» группировки перечислены 64 жертвы (12 новых), в то время как на старом стайте была информация о 91 пострадавшей компании. То есть данные примерно о половине прошлых жертв INC пропали. «Расхождения между двумя сайтами могут свидетельствовать о смене руководства или расколе на разные группы, — считают аналитики KELA. — Однако тот факт, что salfetka ссылается на оба сайта, как на свои проекты, говорит о том, что он может быть связан с ними обоими. В этом случае не исключено, что новый блог создан в попытке получить больше прибыли от продажи». Специалисты пишут, что в отличие от публичной утечки исходных кодов малвари, обычно позволяющей аналитикам взломать шифровальщика, приватная продажа исходников вымогателя, для которого не существует дешифратора, может создать множество проблем для организаций по всему миру. Как правило, такие билдеры покупают высокомотивированные злоумышленники, только пришедшие в эту сферу, или уже сложившиеся хак-группы, желающие повысить свою эффективность, используя более надежный и проверенный шифровальщик. Это особенно актуально, если в продаже появилась версия для Linux/ESXi, которую обычно сложнее разработать и приобрести.
Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.
CSS

Смотрите также

А что там на главной? )))



Комментарии )))



Войти через: