Un post di un attore malevolo che nomina Telewave-Inc. mostra come anche una rivendicazione di ransomware non verificata possa avere importanza quando il bersaglio è vicino a infrastrutture di sicurezza pubblica, difesa e comunicazioni.
Un elenco ransomware pubblicato di recente cita Telewave, Inc. e sostiene che siano stati sottratti 37 GB di dati, ma il valore tecnico risiede in ciò che resta non dimostrato: un classico schema di estorsione costruito su pressione, ambiguità e affermazioni che si diffondono rapidamente.
I ricercatori hanno collegato la campagna FortiBleed alle operazioni ransomware di INC e Lynx, esaminando anche se abbia avuto un ruolo una presunta vulnerabilità zero-day.
Una campagna di raccolta credenziali legata ai dispositivi FortiGate mostra come l’accesso al perimetro possa essere riutilizzato come punto d’appoggio per un ransomware, anche senza un nuovo exploit appariscente.
Una campagna di furto di credenziali attorno ai dispositivi FortiGate è stata collegata alle attività di INC e Lynx, evidenziando come l'accesso al perimetro possa essere riutilizzato per l'estorsione.
Una campagna di raccolta credenziali legata a Fortinet, nota come FortiBleed, evidenzia come l'accesso rubato al perimetro possa contare più di un nuovo exploit.
Il vero campanello d'allarme in questa campagna non è l'etichetta ransomware in sé, ma la combinazione di binari affidabili, software di gestione remota e strumenti di trasferimento cloud che possono far sembrare il furto una normale attività amministrativa.
L'ultima mossa di pressione di INC combina crittografia, dati rubati e note di riscatto recapitate tramite stampante, mostrando come l'estorsione oggi vada oltre il malware e raggiunga le comunicazioni interne.
La crescita di INC evidenzia una dura verità nel cybercrime: quando un marchio ransomware viene colpito, gli affiliati non scompaiono, spesso si spostano.