Individuato inizialmente nel 2018 e offerto come Malware-as-a-Service (MaaS), KPot è stato progettato per rubare informazioni sull’account, nonché altri tipi di dati da browser (ad esempio cookie e moduli di compilazione automatica), applicazioni di messaggistica ed e-mail e altro software, inclusi VPN, strumenti RDP e FTP, app di criptovaluta e software di gioco.
Scritto in C/C++, il malware si basa su HTTP per la comunicazione di comando e controllo (C2) e include il supporto per una varietà di comandi, per rubare le informazioni e i file desiderati dalla macchina della vittima, per rimuovere se stesso o per acquisire schermate.
Gli sviluppatori di KPot hanno annunciato un paio di settimane fa che stavano mettendo all’asta il codice sorgente del malware, con un prezzo iniziale di 6.500 dollari. Stavano anche offrendo il codice sorgente per 10.000 dollari senza asta.
Questa settimana, Cyjax ha rivelato che un rappresentante della banda di ransomware REvil (Sodinokibi) era l’unico offerente nell’asta. Notano anche che l’asta è stata chiusa subito dopo che il gruppo ha fatto l’offerta.
“Anche se la natura chiusa di queste vendite rende impossibile affermare definitivamente che REvil è ora il proprietario del ladro di KPot, questo sembra molto probabile. Erano gli unici offerenti pubblici per questo prodotto e potevano quasi certamente superare le altre parti interessate”, osserva Cyjax.
Osservato per la prima volta all’inizio del 2019 e offerto come ransomware-as-a-service (RaaS), si ritiene che REvil sia gestito dalla banda dietro il ransomware GandCrab, ritirato nel giugno 2019.
In una recente intervista, il gruppo REvil ha affermato di superare i 100 milioni di dollari di guadagni annuali derivanti dal business dei ransomware. Il gruppo GandCrab ha affermato di essere riuscito a guadagnare oltre 2 miliardi di dollari in totale.
“Se REvil ha acquistato il codice sorgente per KPot stealer, questo sarà probabilmente incorporato nei futuri attacchi ransomware”, afferma anche Cyjax.
La mossa non sarebbe sorprendente, considerando che molte bande di ransomware sono state osservate mentre rubavano i dati delle vittime nel tentativo di convincerle a pagare il riscatto minacciando di rendere pubbliche le informazioni.