Un cybercriminel utilisant le nom de « salfetka » prétend vendre le code source d’INC Ransom, une opération de ransomware en tant que service (RaaS) lancée en août 2023.
INC a déjà ciblé la division américaine de Xerox Business Solutions( XBS), Yamaha Motor Philippines et, plus récemment, le National Health Service (NHS) d’Écosse.
Simultanément à la vente présumée, l’opération de rançon de l’INC subit des changements qui pourraient suggérer une rupture entre les membres de son équipe principale ou des plans pour passer à un nouveau chapitre qui impliquera l’utilisation d’un nouveau chiffreur.
Vente de code source
L’acteur de la menace a annoncé la vente des versions Windows et Linux/ESXi d’INC sur les forums Exploit et XSS hacking, demandant 300 000 $et limitant le nombre d’acheteurs potentiels à seulement trois.
Selon les informations fournies à Breachtrace par les experts en threat Intelligence de KELA, qui ont repéré la vente, les détails techniques mentionnés dans le message du forum, tels que l’utilisation d’AES-128 en mode CTR et les algorithmes Curve25519 Donna, s’alignent sur l’analyse publique des échantillons de rançon INC.
KELA a également déclaré à Breachtrace que « salfetka » était actif sur les forums de piratage depuis mars 2024. L’auteur de la menace cherchait auparavant à acheter un accès au réseau pour un maximum de 7 000 USD et offrait une réduction aux courtiers d’accès initiaux du produit des attaques de ransomware.
Un autre point qui ajoute de la légitimité à la vente est « salfetka », y compris les anciennes et les nouvelles URL de la page de rançon INC sur leur signature, indiquant qu’ils sont affiliés à l’opération de ransomware.
Pourtant, la vente pourrait être une arnaque, l’acteur menaçant ayant soigneusement organisé le compte « salfetka » au cours des derniers mois, déclarant son intérêt pour l’achat d’un accès au réseau et fixant un prix élevé pour que l’offre semble légitime.
Actuellement, il n’y a aucune annonce publique sur l’ancien ou le nouveau site d’INC concernant la vente du code source du projet.
Rançon INC se déplaçant vers un nouveau site
Le 1er mai 2024, INC Ransom a annoncé sur son ancien site de fuite qu’il passerait à un nouveau « blog » d’extorsion de fuite de données et a partagé une nouvelle adresse TOR, indiquant que l’ancien site serait fermé dans deux à trois mois.
Le nouveau site est déjà ouvert, et il y a un certain chevauchement sur les listes de victimes avec l’ancien portail, et douze nouvelles victimes non vues sur l’ancien site.
Au total, le nouveau site répertorie 64 victimes (12 nouvelles), tandis que l’ancien compte 91 publications, de sorte qu’environ la moitié des victimes passées de l’INC sont portées disparues.
« Les divergences entre les deux sites peuvent suggérer qu’une opération a peut-être connu un changement de direction ou une scission en différents groupes », ont commenté les analystes de KELA.
« Cependant, le fait que « salfetka » ait référencé les deux sites comme ses prétendus projets suggère que l’acteur n’est pas lié à une seule partie de l’opération. »
« Dans ce cas, il est possible que le nouveau blog ait été créé dans le but de tirer davantage de bénéfices de la vente. »
Il convient également de noter que la nouvelle conception de la page d’extorsion d’INC ressemble visuellement à celle de Hunters International, ce qui pourrait indiquer un lien avec l’autre opération RaaS.
Contrairement à une fuite publique qui permet aux analystes de sécurité de déchiffrer le cryptage d’une souche de ransomware, les ventes de code source privé de souches pour lesquelles il n’y a pas de décrypteur disponible ont le potentiel de créer plus de problèmes pour les organisations du monde entier.
Ces créateurs de ransomwares sont achetés par des acteurs de la menace très motivés qui viennent d’entrer dans l’espace ou par des groupes semi-établis cherchant à améliorer leur jeu en utilisant un chiffreur plus robuste et bien testé.
Cela est particulièrement vrai lorsqu’une version Linux/ESXi est proposée, ce qui est généralement plus difficile à développer et plus coûteux à acquérir.
Lorsque les gangs de ransomwares changent de nom, ils réutilisent généralement une grande partie du code source de leurs anciens chiffrements, ce qui permet aux chercheurs de relier les anciens gangs à de nouvelles opérations.
L’utilisation des chiffrements d’autres opérations de ransomware peut également aider à changer de marque, car cela brouille la piste pour les forces de l’ordre et les chercheurs.