Zeppelin Ransomware Source Code & Builder wird im Dark Web für 500 US-Dollar verkauft

Ein Bedrohungsakteur hat für nur 500 US-Dollar den Quellcode und einen geknackten Builder für Zeppelin verkauft, eine russische Ransomware-Variante, die in der Vergangenheit bei zahlreichen Angriffen auf US-Unternehmen und Organisationen in kritischen Infrastruktursektoren eingesetzt wurde.

Der Verkauf könnte die Wiederbelebung einer Ransomware-as-a-Service (RaaS) mit Zeppelin signalisieren, zu einer Zeit, als viele die Malware als weitgehend funktionsunfähig und veraltet abgeschrieben hatten.

Feuerverkauf im RAMP Crime Forum

Forscher des israelischen Cybersicherheitsunternehmens KELA entdeckten Ende Dezember einen Bedrohungsakteur, der den Benutzernamen „RET“ nutzte und den Quellcode und Builder für Zeppelin2 zum Verkauf auf RAMP anbot, einem russischen Cybercrime-Forum, das unter anderem einst die Leak-Site der Babuk-Ransomware beherbergte. Ein paar Tage später, am 31. Dezember, behauptete der Bedrohungsakteur, die Malware an ein RAMP-Forumsmitglied verkauft zu haben.

Victoria Kivilevich, Der Direktor für Bedrohungsforschung bei KELA sagt, es sei unklar, wie und woher der Bedrohungsakteur den Code und den Builder für Zeppelin erhalten haben könnte. „Der Verkäufer hat angegeben, dass er auf den Builder gestoßen ist und ihn geknackt hat, um in Delphi geschriebenen Quellcode herauszufiltern“, sagt Kivilevich. RET habe klargestellt, dass sie nicht der Autor der Malware seien, fügt sie hinzu.

Der zum Verkauf stehende Code war offenbar für eine Version von Zeppelin bestimmt, die mehrere Schwachstellen in den Verschlüsselungsroutinen der Originalversion korrigierte. Diese Schwachstellen hatten es Forschern des Cybersicherheitsunternehmens Unit221B ermöglicht, die Verschlüsselungsschlüssel von Zeppelin zu knacken und den Opferorganisationen fast zwei Jahre lang stillschweigend dabei zu helfen, gesperrte Daten zu entschlüsseln. Die Zeppelin-bezogenen RaaS-Aktivitäten gingen nach der Nachricht von Unit22B zurück geheimes Entschlüsselungstool wurde im November 2022 öffentlich.

Kivilevich sagt, die einzige Information über den Code, den RET zum Verkauf angeboten habe, sei ein Screenshot des Quellcodes gewesen. Allein anhand dieser Informationen sei es für KELA schwer zu beurteilen, ob der Code echt sei oder nicht, sagt sie. Allerdings war der Bedrohungsakteur RET in mindestens zwei anderen Foren zur Cyberkriminalität unter unterschiedlichen Benutzernamen aktiv und scheint bei einem davon eine gewisse Glaubwürdigkeit aufgebaut zu haben.

„Bei einem von ihnen hat er einen guten Ruf und drei bestätigte erfolgreiche Geschäfte über den Mittelsmann-Dienst des Forums, was dem Schauspieler eine gewisse Glaubwürdigkeit verleiht“, sagt Kivilevich.

„KELA hat auch eine neutrale Bewertung eines Käufers eines seiner Produkte erhalten, bei dem es sich offenbar um eine Antiviren-Bypass-Lösung handelt. In der Überprüfung wurde festgestellt, dass es in der Lage ist, ein dem Windows Defender ähnliches Antivirenprogramm zu neutralisieren, bei „schwerwiegenden“ Antivirenprogrammen funktioniert es jedoch nicht“, fügt sie hinzu.

Eine einst so große Bedrohung: Crashes & Burns

Zeppelin ist eine Ransomware, die Bedrohungsakteure seit mindestens 2019 bei mehreren Angriffen auf US-Ziele eingesetzt haben. Die Malware ist ein Derivat von VegaLocker, einer in der Programmiersprache Delphi geschriebenen Ransomware. Im August 2022 veröffentlichten die US-amerikanische Cybersecurity and Infrastructure Security Agency (CISA) und das FBI Indikatoren für eine Kompromittierung sowie Details zu den Taktiken, Techniken und Verfahren (TTPs), die Zeppelin-Akteure zur Verbreitung der Malware und zur Infektion von Systemen verwendeten.

CISA beschrieb damals, dass die Malware bei mehreren Angriffen auf US-Ziele eingesetzt wurde, darunter Rüstungsunternehmen, Hersteller, Bildungseinrichtungen, Technologieunternehmen und insbesondere Organisationen in der Medizin- und Gesundheitsbranche. Die anfänglichen Lösegeldforderungen bei Angriffen mit Zeppelin-Beteiligung lagen zwischen einigen Tausend Dollar und teilweise über einer Million Dollar.

Kivilevich sagt, es sei wahrscheinlich, dass der Käufer des Zeppelin-Quellcodes das tun werde, was andere tun, wenn sie Malware-Code erworben haben.

„In der Vergangenheit haben wir gesehen, dass verschiedene Akteure den Quellcode anderer Stämme in ihren Betrieben wiederverwendeten, daher ist es möglich, dass der Käufer den Code auf die gleiche Weise verwendet“, sagt sie. „Zum Beispiel das durchgesickerte LockBit 3.0 Builder wurde von Bl00dy übernommen, LockBit selbst nutzte es Conti-Quellcode durchgesickert und Code, den sie von BlackMatter gekauft haben, und eines der jüngsten Beispiele ist Hunters International, das behauptete, den Hive-Quellcode gekauft zu haben.“

Kivilevich sagt, es sei nicht ganz klar, warum der Bedrohungsakteur RET den Quellcode und Builder von Zeppelin für nur 500 US-Dollar verkauft haben könnte. „Schwer zu sagen“, sagt sie. „Möglicherweise dachte er, dass es für einen höheren Preis nicht anspruchsvoll genug sei – wenn man bedenkt, dass er es geschafft hat, an den Quellcode zu kommen, nachdem er den Builder geknackt hatte. Aber wir wollen hier nicht spekulieren.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web