يتم بيع كود مصدر Zeppelin Ransomware ومنشئه مقابل 500 دولار على الويب المظلم

أعاد نشره أفلاطون

المتابعون: 0

باع أحد ممثلي التهديد رمز المصدر وأداة إنشاء متصدع لبرنامج Zeppelin مقابل 500 دولار فقط، وهي سلالة روسية من برامج الفدية تم استخدامها في العديد من الهجمات على الشركات والمؤسسات الأمريكية في قطاعات البنية التحتية الحيوية في الماضي.

يمكن أن تشير عملية البيع إلى إحياء برنامج الفدية كخدمة (RaaS) الذي يتميز بـ Zeppelin، في الوقت الذي قام فيه الكثيرون بشطب البرامج الضارة باعتبارها غير عاملة إلى حد كبير ومتوقفة عن العمل.

بيع النار على منتدى RAMP Crime

اكتشف باحثون في شركة الأمن السيبراني الإسرائيلية KELA في أواخر ديسمبر/كانون الأول ممثل تهديد يستخدم المقبض "RET" الذي يعرض الكود المصدري ومنشئ Zeppelin2 للبيع على RAMP، وهو منتدى روسي للجرائم الإلكترونية استضاف، من بين أمور أخرى، موقع تسرب برنامج الفدية Babuk. وبعد يومين، في 31 ديسمبر، ادعى ممثل التهديد أنه باع البرنامج الضار إلى أحد أعضاء منتدى RAMP.

فيكتوريا كيفيليفيتش, يقول مدير أبحاث التهديدات في KELA، إنه من غير الواضح كيف أو من أين حصل ممثل التهديد على الكود ومنشئ Zeppelin. يقول كيفيليفيتش: "لقد حدد البائع أنهم عثروا على المُنشئ وقاموا باختراقه لتسلل كود المصدر المكتوب بلغة دلفي". وأضافت أن منظمة RET أوضحت أنها ليست مؤلفة البرامج الضارة.

يبدو أن الكود الذي كان معروضًا للبيع كان خاصًا بإصدار Zeppelin الذي قام بتصحيح نقاط الضعف المتعددة في إجراءات تشفير الإصدار الأصلي. وقد سمحت نقاط الضعف هذه للباحثين من شركة الأمن السيبراني Unit221B بفك مفاتيح التشفير الخاصة بـ Zeppelin، ولمدة عامين تقريبًا، مساعدة المنظمات الضحية بهدوء على فك تشفير البيانات المقفلة. انخفض نشاط RaaS المرتبط بـ Zeppelin بعد أنباء عن Unit22B أداة فك التشفير السرية أصبح علنيًا في نوفمبر 2022.

يقول كيفيليفيتش إن المعلومات الوحيدة عن الكود الذي عرضته RET للبيع كانت لقطة شاشة للكود المصدري. وتقول إنه بناءً على هذه المعلومات وحدها، من الصعب على KELA تقييم ما إذا كان الرمز حقيقيًا أم لا. ومع ذلك، كان ممثل التهديد RET نشطًا في اثنين على الأقل من منتديات الجرائم الإلكترونية الأخرى باستخدام مقابض مختلفة ويبدو أنه قد أنشأ نوعًا من المصداقية في أحدهما.

يقول كيفيليفيتش: "في إحداها، يتمتع بسمعة جيدة، وثلاث صفقات ناجحة مؤكدة من خلال خدمة وسيط المنتدى، مما يضيف بعض المصداقية للممثل".

"لقد شهدت KELA أيضًا مراجعة محايدة من أحد المشترين لأحد منتجاته، والذي يبدو أنه حل تجاوز لمكافحة الفيروسات. قالت المراجعة إنها قادرة على تحييد برنامج مكافحة فيروسات مشابه لبرنامج Windows Defender، لكنها لن تعمل مع برامج مكافحة الفيروسات "الخطيرة".

تهديد قوي مرة واحدة يتعطل ويحترق

Zeppelin عبارة عن برنامج فدية استخدمته الجهات الفاعلة في هجمات متعددة على أهداف أمريكية يعود تاريخها إلى عام 2019 على الأقل. والبرنامج الضار مشتق من VegaLocker، وهو برنامج فدية مكتوب بلغة برمجة دلفي. في أغسطس 2022، أصدرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) ومكتب التحقيقات الفيدرالي مؤشرات اختراق وتفاصيل حول التكتيكات والتقنيات والإجراءات (TTPs) التي كان ممثلو زيبلين يستخدمونها لتوزيع البرامج الضارة وإصابة الأنظمة.

في ذلك الوقت، وصفت CISA البرمجيات الخبيثة بأنها تُستخدم في العديد من الهجمات على أهداف أمريكية بما في ذلك مقاولي الدفاع والمصنعين والمؤسسات التعليمية وشركات التكنولوجيا، وخاصة المنظمات في الصناعات الطبية والرعاية الصحية. تراوحت طلبات الفدية الأولية في الهجمات التي شملت زيبلين من بضعة آلاف من الدولارات إلى أكثر من مليون دولار في بعض الحالات.

يقول كيفيليفيتش إنه من المحتمل أن يقوم مشتري كود مصدر Zeppelin بما يفعله الآخرون عندما يحصلون على كود برمجي ضار.

وتقول: "في الماضي، رأينا جهات فاعلة مختلفة تعيد استخدام الكود المصدري لسلالات أخرى في عملياتها، لذلك من الممكن أن يستخدم المشتري الكود بنفس الطريقة". "على سبيل المثال، تسربت لوكبيت 3.0 تم اعتماد المنشئ بواسطة Bl00dy، وكان LockBit أنفسهم يستخدمونه كود مصدر كونتي المسرب والكود الذي اشتروه من BlackMatter، وأحد الأمثلة الحديثة هو Hunters International الذي ادعى أنه اشترى كود مصدر Hive.

يقول كيفيليفيتش إنه ليس من الواضح تمامًا سبب قيام جهة التهديد RET ببيع الكود المصدري والباني الخاص بـ Zeppelin مقابل 500 دولار فقط. تقول: "من الصعب معرفة ذلك". "من المحتمل أنه لم يعتقد أنها متطورة بما يكفي مقابل سعر أعلى - مع الأخذ في الاعتبار أنه تمكن من الحصول على الكود المصدري بعد كسر أداة الإنشاء. لكننا لا نريد التكهن هنا."