En trusselsaktør har solgt kildekoden for kun 500 $ og en knækket builder til Zeppelin, en russisk ransomware-stamme, der tidligere blev brugt i adskillige angreb på amerikanske virksomheder og organisationer i kritiske infrastruktursektorer.
Salget kunne signalere genoplivningen af en ransomware-as-a-service (RaaS) med Zeppelin, på et tidspunkt, hvor mange havde afskrevet malwaren som stort set ikke-operativ og nedlagt.
Brandudsalg på RAMP Crime Forum
Forskere hos det israelske cybersikkerhedsfirma KELA opdagede i slutningen af december en trusselsaktør, der brugte håndtaget "RET", der tilbød kildekoden og builderen til Zeppelin2 til salg på RAMP, et russisk cyberkriminalitetsforum, der blandt andet engang var vært for Babuk ransomwares lækageside. Et par dage senere, den 31. december, hævdede trusselsaktøren at have solgt malwaren til et medlem af RAMP-forumet.
Victoria Kivilevich, direktør for trusselsforskning hos KELA, siger, at det er uklart, hvordan eller hvorfra trusselsaktøren kan have fået koden og builder til Zeppelin. "Sælgeren har specificeret, at de 'kom på tværs af' bygherren og knækkede den for at eksfiltrere kildekoden skrevet i Delphi," siger Kivilevich. RET har gjort det klart, at de ikke er ophavsmanden til malwaren, tilføjer hun.
Koden, der var til salg, ser ud til at have været til en version af Zeppelin, der korrigerede flere svagheder i den originale versions krypteringsrutiner. Disse svagheder havde gjort det muligt for forskere fra cybersikkerhedsfirmaet Unit221B at knække Zeppelins krypteringsnøgler og i næsten to år stille og roligt hjælpe offerorganisationer med at dekryptere låste data. Zeppelin-relateret RaaS-aktivitet faldt efter nyheder om Unit22B's hemmeligt dekrypteringsværktøj blev offentlig i november 2022.
Kivilevich siger, at den eneste information om koden, som RET udbød til salg, var et skærmbillede af kildekoden. Alene ud fra den information er det svært for KELA at vurdere, om koden er ægte eller ej, siger hun. Trusselsaktøren RET har dog været aktiv på mindst to andre cyberkriminalitetsfora ved hjælp af forskellige håndtag og ser ud til at have etableret en form for troværdighed på et af dem.
"På en af dem har han et godt ry, og tre bekræftede succesfulde aftaler gennem forummellemmandstjenesten, hvilket tilføjer en vis troværdighed til skuespilleren," siger Kivilevich.
“KELA har også set en neutral anmeldelse fra en køber af et af hans produkter, som ser ud til at være en antivirus-bypass-løsning. Gennemgangen sagde, at det er i stand til at neutralisere et antivirus svarende til Windows Defender, men det vil ikke fungere på 'seriøst' antivirus," tilføjer hun.
En engang stærk trussel går ned og brænder
Zeppelin er ransomware, som trusselsaktører har brugt i flere angreb på amerikanske mål, der går tilbage til mindst 2019. Malwaren er et derivat af VegaLocker, en ransomware skrevet i programmeringssproget Delphi. I august 2022 udgav US Cybersecurity and Infrastructure Security Agency (CISA) og FBI indikatorer for kompromis og detaljer om taktikken, teknikkerne og procedurerne (TTP'er), som Zeppelin-aktører brugte til at distribuere malwaren og inficere systemer.
På det tidspunkt beskrev CISA malwaren som værende brugt i adskillige angreb på amerikanske mål, herunder forsvarsentreprenører, producenter, uddannelsesinstitutioner, teknologivirksomheder og især organisationer i medicin- og sundhedsindustrien. Indledende krav om løsesum i angreb, der involverede Zeppelin, varierede fra nogle få tusinde dollars til over en million dollars i nogle tilfælde.
Kivilevich siger, at det er sandsynligt, at køberen af Zeppelin-kildekoden vil gøre, hvad andre har, når de har erhvervet malware-kode.
"Tidligere har vi set forskellige aktører genbruge kildekoden fra andre stammer i deres drift, så det er muligt, at køberen vil bruge koden på samme måde," siger hun. ”For eksempel den lækkede LockBit 3.0 builder blev vedtaget af Bl00dy, LockBit selv brugte lækket Conti-kildekode og kode, de købte fra BlackMatter, og et af de seneste eksempler er Hunters International, der hævdede at have købt Hive-kildekoden."
Kivilevich siger, at det ikke er særlig klart, hvorfor trusselsaktøren RET kunne have solgt Zeppelins kildekode og builder for kun 500 dollars. "Svært at sige," siger hun. "Muligvis mente han ikke, at det var sofistikeret nok til en højere pris - i betragtning af at han formåede at få kildekoden efter at have knækket byggeren. Men vi ønsker ikke at spekulere her."
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :har
- :er
- :ikke
- :hvor
- 2019
- 2022
- 31
- a
- I stand
- erhvervede
- tværs
- aktiv
- aktivitet
- aktører
- Tilføjer
- vedtaget
- Efter
- agentur
- tilladt
- alene
- også
- blandt
- an
- ,
- og infrastruktur
- antivirus
- kommer til syne
- ER
- AS
- vurdere
- At
- Angreb
- AUGUST
- forfatter
- tilbage
- baseret
- BE
- blev
- været
- være
- Builder
- virksomheder
- men
- KØBER..
- by
- bypass
- kom
- CISA
- hævdede
- klar
- kode
- Virksomheder
- kompromis
- BEKRÆFTET
- Overvejer
- Conti
- entreprenører
- korrigeret
- kunne
- Par
- sprække
- revnet
- revner
- Troværdighed
- Kriminalitet
- kritisk
- Kritisk infrastruktur
- cyberkriminalitet
- Cybersecurity
- Agentur for cybersikkerhed og infrastruktur
- mørk
- Mørk Web
- data
- Dage
- Tilbud
- december
- december
- Dekryptér
- Forsvar
- hedengangne
- Delphi
- krav
- afledte
- beskrevet
- detaljer
- gjorde ikke
- forskellige
- distribuere
- do
- dollars
- Don
- uddannelsesmæssige
- kryptering
- nok
- især
- etableret
- Ether (ETH)
- eksempel
- eksempler
- FBI
- fbi frigivet
- Med
- få
- Firm
- Til
- forum
- fora
- fra
- ægte
- få
- gå
- godt
- havde
- håndtere
- Håndterer
- Hård Ost
- Have
- he
- sundhedspleje
- hjælpe
- link.
- højere
- hans
- Hive
- hostede
- Hvordan
- Men
- HTTPS
- if
- in
- Herunder
- Indikatorer
- industrier
- oplysninger
- Infrastruktur
- initial
- forekomster
- institutioner
- internationalt
- involverer
- israelsk
- IT
- jpg
- lige
- nøgler
- Sprog
- vid udstrækning
- Sent
- senere
- lække
- mindst
- Sandsynlig
- låst
- lavet
- malware
- lykkedes
- Producenter
- mange
- medicinsk
- medlem
- måske
- million
- millioner dollars
- flere
- næsten
- Neutral
- nyheder
- november
- talrige
- opnået
- of
- off
- tilbydes
- tilbyde
- on
- engang
- ONE
- kun
- Produktion
- or
- organisationer
- original
- Andet
- Andre
- i løbet af
- forbi
- plato
- Platon Data Intelligence
- PlatoData
- mulig
- eventuelt
- pris
- procedurer
- Produkter
- Programmering
- offentlige
- købt
- køber
- roligt
- Rampe
- Ransom
- ransomware
- nylige
- frigivet
- omdømme
- forskning
- forskere
- gennemgå
- Russisk
- s
- Said
- salg
- samme
- siger
- Sektorer
- sikkerhed
- synes
- set
- Sells
- alvorlig
- tjeneste
- flere
- hun
- Signal
- lignende
- websted
- So
- solgt
- løsninger
- nogle
- sofistikeret
- Kilde
- kildekode
- specificeret
- Stammer
- vellykket
- Systemer
- T
- taktik
- mål
- teknikker
- Teknologier
- teknologiselskaber
- fortælle
- at
- The Source
- deres
- Them
- selv
- de
- ting
- tror
- dem
- tusinde
- trussel
- trusselsaktører
- tre
- Gennem
- tid
- til
- to
- uklar
- us
- brug
- anvendte
- ved brug af
- Ve
- udgave
- meget
- Victim
- ønsker
- var
- Vej..
- we
- web
- var
- Hvad
- hvornår
- som
- WHO
- hvorfor
- vilje
- vinduer
- Vandt
- Arbejde
- skriftlig
- år
- zephyrnet
- Zeppelin
