Gli operatori del gruppo REvil hanno acquistato il codice sorgente del trojan KPOT in un’asta tenutasi su un forum di hacker il mese scorso.
La vendita è avvenuta dopo che l’autore del malware KPOT ha deciso di mettere all’asta il codice, desiderando passare ad altri progetti.
“La vendita è stata organizzata come un’asta pubblica su un forum clandestino di hacking per criminali informatici di lingua russa”, ha riferito il mese scorso a ZDNet il ricercatore di sicurezza Pancak3 in un’intervista, “L’unico offerente era UNKN, un noto membro della gang di ransomware REvil (Sodinokibi)”.
UNKN ha pagato il prezzo iniziale richiesto di $ 6.500, mentre altri membri del forum hanno rifiutato di partecipare a causa della cifra elevata. L’operatore REvil ha così ricevuto il codice sorgente di KPOT 2.0, l’ultima versione del malware KPOT.
Avvistato per la prima volta nel 2018, KPOT è un classico “information stealer” in grado di estrarre e rubare password da varie app su computer infetti. Ciò include, secondo un rapporto Proofpoint del 2019, browser Web, messaggistica istantanea, client di posta elettronica, VPN, servizi RDP, app FTP, portafogli di criptovaluta e software di gioco.
Pancak3, che ha individuato per la prima volta l’asta KPOT a metà ottobre, suppone che la banda REvil abbia acquistato KPOT per “svilupparlo ulteriormente” e aggiungerlo al suo considerevole arsenale di strumenti di hacking che la banda utilizza durante le sue intrusioni mirate all’interno delle reti aziendali.
Sebbene molti altri membri del forum abbiano descritto il codice KPOT come troppo costoso, UNKN e la banda REvil hanno soldi da elargire.
Il membro REvil, che negli ultimi due anni ha operato come prestanome pubblico e reclutatore della banda di ransomware nei forum di hacking, ha recentemente rilasciato un’intervista a un canale YouTube russo, sostenendo che la banda REvil guadagna più di $ 100 milioni da richieste di riscatto ogni anno.
https://securityaffairs.co/wordpress/110407/malware/revil-ransomware-kpot-stealer.html