Luna trecută, pe un forum de cybercrime de pe darkweb, creatorii malware-ului KPOT au organizat o licitație online prin care au scos la vânzare codul sursă al “creației” lor pentru suma de 6500 USD (aprox. 27.000 RON). Investigațiile ulterioare au stabilit că ofertantul câștigător era nimeni altul decât UNKN, unul dintre dezvoltatorii ransomware-ului REvil (cunoscut și sub numele de Sodinokibi).
Licitație pentru malware
Ideea principală pentru care s-a organizat licitația al cărei obiect l-a făcut malware-ul KPOT, a fost că dezvoltatorii au probabil alte priorități în prezent și își doresc orientarea focusului pe un alt proiect. Identificat pentru prima dată în anul 2018, KPOT este un „information-stealer” clasic, promovat în mediul online ca serviciu de tip MaaS (Malware-as-a-Service), cu multiple capabilități ce pot aduce beneficii financiare dacă este utilizat “conform instrucțiunilor de utilizare”.
KPOT poate sustrage parole credențiale de acces din diferite aplicații ce rulează pe sistemele informatice infectate. Potrivit unui raport din anul 2019 al celor de la Proofpoint, malware-ul vizează datele din browsere web, aplicații de mesagerie instantanee, clienți de e-mail, VPN-uri, servicii RDP, aplicații FTP și portofele de monede criptografice. Cea mai recentă versiune – KPOT 2.0, prezenta funcționalități rău intenționate precum extragerea de:
- Parole
- Cookie-uri
- Istoricul de navigare
- Detalii din formularul de completare automată (Auto Form Filler)
- Fișiere RDP
- Informații despre sistem, adresa IP, numele de utilizator și software-ul instalat
KPOT se potrivește mănușă unui atacator care vizează obținerea de acces într-o rețea sau asupra unui sistem informatic cu scopul infectării sale ulterioare cu malware din categoria ransomware. Probabil la asta s-a gândit și “CEO of REvil ransomware” când au achitat suma de 6500 USD. Practic, prin această fuziune s-a asigurat un upgrade major care cu siguranță se va observa în viitorul apropiat pe sistemele informatice compromise de ransomware-ul REvil.
Probabil vă întrebați dacă suma de 6500 $ este o sumă potrivită pentru o astfel de achiziție. Recent, unul dintre membrii grupării REvil a afirmat că înregistrează o cifră de afaceri anuală de peste 100 de milioane de dolari din cererile de răscumpărare încasate.
De reținut că ransomware-ul REvil poate provoca daune majore în ceea ce privește disponibilitatea și integritatea datelor. De aceea este important ca indicatorii de compromitere specifici acestei amenințări să fie recunoscuți de mecanismele de protecție cibernetică, fiind imperativă actualizarea regulată a bazelor de semnături antivirus.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.