Cyberbezpieczeństwo
Kup sobie kod ransomware. Nietypowa oferta za 300 tys. dolarów
Autor. Ilya Pavlov/Unsplash
Takiego ruchu raczej mało kto mógł się spodziewać. Doniesienia medialne wskazują, że na forach hakerskich miała pojawić się oferta sprzedaży kodu źródłowego INC Ransom – ransomware wykorzystanego m.in. w atakach na szkocką National Health Service czy filipiński oddział Yamaha Motor.
Ataki ransomware opisywaliśmy na łamach CyberDefence24 wielokrotnie. W kwietniu ich ofiarą padło GBI Genios, co spowodowało utrudnienia wśród potentatów medialnych oraz uczelni. Z kolei kilka dni wcześniej ujawniono operacje, jakie przeprowadzono przeciwko brytyjskim i amerykańskim samorządom.
Czytaj też
Kod źródłowy INC Ransom wystawiony na sprzedaż?
Czasami, oprócz ataków przeprowadzanych przez hakerów, można również usłyszeć o kłopotach trapiących grupy cyberprzestępców. Opisywana sytuacja ma jednak miejsce znacznie rzadziej – jak podaje serwis BleepingComputer, na jednym z forów hakerskich miał zostać wystawiony na sprzedaż kod źródłowy INC Ransom.
Działające w formie ransomware-as-a-service narzędzie jest znane z kilku dokonanych do tej pory ataków. Zastosowano je w przypadku operacji skierowanej przeciwko amerykańskiemu oddziałowi firmy Xerox czy szkockiej National Health Service.
Kusząca oferta za 300 tys. dolarów. Scam niewykluczony
Z informacji organizacji KELA wynika, że autor oferty sprzedaży – użytkownik o nazwie „salfetka” – zaczął działać na forum dwa miesiące temu. Cena, jakiej żąda sprzedawca za kod źródłowy INC Ransom, wynosi 300 tys. dol., jednak zakupu mogą dokonać maksymalnie trzy osoby.
Na jakiej podstawie można stwierdzić, że faktycznie przedmiotem oferty jest sprzedaż kodu INC Ransom? Otóż według informacji podanych przez „salfetkę”, narzędzie ma korzystać z algorytmów Curve25519 Donna oraz AES-128. Analiza porównawcza pokazała, że zgadzają się one z tym, co do tej pory znaleziono w INC Ransom – nie ma jednak całkowitej pewności, że nie jest to scam.
Czytaj też
Podziały wśród hakerów czy chęć większych zysków?
Dość istotne jest także to, że w ostatnim czasie grupa INC Ransom rozpoczęła przenosiny na nową stronę. Jak się okazuje, w poście dot. sprzedaży, „salfetka” wskazał zarówno starą, jak i nową wersję portalu grupy. Eksperci z KELA w rozmowie z BleepingComputer wskazali jednak na drobny szczegół: na nowej stronie brakuje ok. połowy podmiotów (łączna liczba ofiar jest wyższa o prawie 30 w przypadku starego portalu), które padły ofiarą ataku ransomware ze strony INC.
Nie wiadomo dokładnie, co może być przyczyną takiej sytuacji. Założenie nowego portalu może być zarówno działaniem mającym na celu maksymalizację zysków z przychodu kodu źródłowego, jak również i sygnałem o konflikcie lub innych zmianach w składzie grupy INC Ransom.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
