300 mil dólares: el código fuente del cifrador INC Ransom está a la venta

El ciberdelincuente bajo el alias «salfetka» anunció la venta del código fuente del ransomware INC Ransom. Este programa se lanzó en agosto de 2023 y desde entonces opera bajo un modelo de Ransomware-as-a-Service (RaaS). Anteriormente, INC Ransom fue utilizado para atacar la división de Xerox Business Solutions en EE. UU., Yamaha Motor en Filipinas, y el Servicio Nacional de Salud de Escocia.

Al mismo tiempo que se anunció la venta, los investigadores de seguridad comenzaron a observar algunos cambios en el funcionamiento del grupo responsable de distribuir el malware.Esto podría indicar desacuerdos entre sus miembros o planes para avanzar hacia una nueva etapa, que incluiría el uso de un nuevo cifrador.

El hacker «salfetka» ha puesto a la venta versiones del programa INC Ransom para Windows y Linux/ESXi en los foros Exploit y XSS por 300,000 dólares. Según los expertos de KELA, los detalles técnicos mencionados en el anuncio, como el uso de algoritmos AES-128 en modo CTR y Curve25519 Donna, coinciden con los análisis públicos de muestras de INC Ransom.

De acuerdo con la información de KELA, «salfetka» ha estado activamente comunicándose en foros de hackers solo desde marzo de 2024. Anteriormente, este usuario quería comprar acceso a una red objetivo por un monto de hasta 7,000 dólares y sugería a los brokers de acceso inicial reducir los ingresos de los ataques de ransomware.

Sin embargo, los expertos en ciberseguridad creen que la venta podría ser un fraude. El hacker «salfetka» podría haber preparado cuidadosamente su cuenta para crear la apariencia de legitimidad de la oferta. Además, no ha habido ningún anuncio público por parte de los recursos oficiales de INC Ransom sobre la venta del código fuente.

Lo único que favorece al hacker es el hecho de que planea vender el código a través de un intermediario garante, lo que podría reducir los riesgos para el comprador potencial.

A principios de mayo, el grupo INC Ransom anunció su traslado a un nuevo sitio web y compartió su dirección en la red TOR, informando que el antiguo sitio se cerrará en dos o tres meses. No se ha recibido más información, ni siquiera indirectamente relacionada con la venta del código fuente, por parte del grupo.

El nuevo diseño de la página de los extorsionadores visualmente recuerda a Hunters International, lo que podría indicar una conexión con otro grupo RaaS. El uso del código fuente de otra operación puede complicar el trabajo de las fuerzas del orden y los investigadores.

Mientras tanto, la venta privada del código fuente de ransomware, para el cual no hay descifradores disponibles, también puede crear nuevos problemas para organizaciones de todo el mundo. Estos programas son comprados por hackers motivados que buscan mejorar sus herramientas con código malicioso más fiable y probado. Esto es especialmente relevante para la versión Linux/ESXi, cuyo desarrollo es en general mucho más complejo y costoso.