名为“CryptNet”的来自俄罗斯的新勒索软件服务首次亮相，宣称勒索成功后其要求的收益分成比例最低

又是新的一天，另一个新的勒索软件团伙出现了：在暗网的俄语角落里发现的最新威胁行为者称为“CryptNet”。

ZeroFox公司的网络安全侦探在暗网论坛RAMP上发现了这一情况，一个名为“shrinbaba”的威胁行为者在暗网论坛里发布了新的勒索软件即服务（RaaS）的“广告”。

ZeroFox说：“CryptNet被宣传为具有快速且完全不显眼的各种特性和功能，例如删除卷影副本和禁用备份服务的能力，以及无需互联网连接即可离线加密，和一个用于谈判的聊天面板。”

“shrinbaba”发布的广告帖子称：

CryptNet勒索软件正在寻找有域渗透经验的熟练渗透测试人员

通过加入我们，你将拥有世界上最快的勒索软件。您还将拥有
1.完全无法检测的勒索软件
2.独特的离线加密
3.使用AES和RSA的间歇性加密（世界上最快的加密方式）
4.删除影子副本
5.禁用备份服务
6.关于你的客户的统计数据
7.用于谈判的聊天面板

加入我们团队的好处
我们没有国家限制。
你将在每笔付款中获得90%的利润。
你将得到谈判的支持

“shrinbaba”在该帖子下留下了自己的Tox号码。

ZeroFox认为，CryptNet已经取得了几个勒索软件的攻击进展，上个月底确认了两名受害者。

勒索软件是一种恶意软件，被互联网犯罪分子用来渗透和勒索目标公司，然后向这些公司收取“费用”，以换取他们返回数据并保守秘密。

在这种情况下，CryptNet向在成功攻击中使用其闪亮的新非法勒索软件的任何人提供90%的分成。这表明，该技术背后的人类操作员可能属于网络犯罪分子的“超级聪明”类别，他们乐于设计这些工具，并让其他人利用它们来勒索组织。

ZeroFox表示：“这是RaaS市场中附属机构可以获得的最高分成份额之一，附属机构通常从大多数勒索软件团伙那里只能获得60-80%的份额，”并补充说CryptNet声称它还将在赎金谈判期间提供支持。

它补充说：“虽然原始帖子表示对可以作为目标的国家没有限制，但在另一位论坛成员的质疑后，这一说法随后从原始帖子中删除。”

ZeroFox认为，这种说法很可能已被编辑掉了，因为它暗示俄罗斯也可以成为使用CryptNet勒索软件的目标——这通常是讲俄语的团伙中的一大禁忌，因为他们的非法活动只要不攻击祖国，就可以在这个被抛弃的超级国家中享有实际上的豁免。

该威胁行为者“shrinbaba”还在另外一个帖子里决定出售一个名为“Stealer”的源代码，出售的原因是他正在做另一个项目。“shrinbaba”称：

Stealer完全从头开始重写。用C++写在.NET上，不依赖.NET版本。在v143工具集下构建，没有CRT，本地x86可执行。可执行文件重量：230kb（UPX下约100kb）。

在操作系统Windows 7 – Windows 11（Windows Server 2008 R2 – Windows Server 2022的服务器版本）上运行，位深并不重要。

通过它自己的协议在TCP上与套接字上的服务器工作。所有的信息都是通过服务器生成的每台机器的唯一密钥，以加密的形式传送到服务器和从服务器传送出来。

分发模式是对一个时间段的订阅。订阅结束后——仍然可以使用搜索日志、下载日志和查看统计数据，其他的都关闭了。