Nuovo leak site, nuovo gruppo ransomware ex ROOK

E’ online un nuovo indirizzo web di rivendicazione per i crimini informatici, noto come data leaks site. Nasce così un nuovo gruppo, ma ci sono collegamenti storici precedenti.

Si chiama x001xs, origine presumibilmente iraniana o comunque collegabile al mondo islamico, il nuovo gruppo ransomware che emerge con un nuovo indirizzo onion e il primo leak. La rivendicazione è relativa al più grande e importante istituto bancario iraniano, appunto la Bank Melli Iran.

Compare sul sito l’annuncio di vendita per 75 milioni di records esfiltrati da questa banca.

Ma è curioso indagare sulle origini di x001xs. Sembra infatti che il nuovo gruppo sia un rebrand di ROOK. Ora cerco di ricostruirne qui i collegamenti fatti.

Nuovo indirizzo onion: hxxp://nalr2uqsave7y2r235am5jsfiklfjh5h4jc5nztu3rzvmhklwt5j6kid.onion

Analizzando il codice si trovano connessioni su altro onion:

Quello evidenziato è proprio l’URL di ROOK, ora offline e non più accessibile. Si pensa dunque a una nuova affiliazione, una rinascita ex novo che ingloba tutta la tecnologia di ROOK e cambia nome.

ROOK, lo ricordo, a sua volta è noto essere stato un rebrand del predecessore Babuk.

Quindi in definitiva oggi potremo avere il nuovo gruppo x001xs che eredita da ROOK che eredita da Babuk.

Infine il wallet BTC per la corresponsione delle trattative verso la cyber gang cambia, l’indirizzo a oggi privo di transazioni è:

bc1qt6hcqqtdq8cj7aes50q7gxmmf833jn2mh6magd

Mentre invece l’aspetto della home è rappresentato da questo screenshot: