Ένας ηθοποιός απειλών πούλησε για μόλις 500 δολάρια τον πηγαίο κώδικα και ένα σπασμένο πρόγραμμα δημιουργίας για το Zeppelin, ένα ρωσικό στέλεχος ransomware που χρησιμοποιήθηκε σε πολυάριθμες επιθέσεις σε αμερικανικές επιχειρήσεις και οργανισμούς σε τομείς ζωτικής σημασίας υποδομής στο παρελθόν.
Η πώληση θα μπορούσε να σηματοδοτήσει την αναβίωση ενός ransomware-as-a-service (RaaS) που περιλαμβάνει το Zeppelin, σε μια εποχή που πολλοί είχαν διαγράψει το κακόβουλο λογισμικό ως σε μεγάλο βαθμό μη λειτουργικό και ανενεργό.
Fire Sale στο RAMP Crime Forum
Ερευνητές στην ισραηλινή εταιρεία κυβερνοασφάλειας KELA εντόπισαν στα τέλη Δεκεμβρίου έναν παράγοντα απειλών που χρησιμοποιεί τη λαβή "RET" που προσφέρει τον πηγαίο κώδικα και το πρόγραμμα δημιουργίας για το Zeppelin2 προς πώληση στο RAMP, ένα ρωσικό φόρουμ για το έγκλημα στον κυβερνοχώρο που, μεταξύ άλλων, κάποτε φιλοξενούσε τον ιστότοπο διαρροής του ransomware Babuk. Μερικές μέρες αργότερα, στις 31 Δεκεμβρίου, ο ηθοποιός της απειλής ισχυρίστηκε ότι πούλησε το κακόβουλο λογισμικό σε ένα μέλος του φόρουμ RAMP.
Victoria Kivilevich, διευθυντής έρευνας απειλών στο KELA, λέει ότι δεν είναι σαφές πώς ή από πού, ο παράγοντας της απειλής θα μπορούσε να έχει αποκτήσει τον κωδικό και το builder για το Zeppelin. «Ο πωλητής διευκρίνισε ότι «συνάντησαν» το πρόγραμμα κατασκευής και το έσπασαν για να εξάγουν τον πηγαίο κώδικα γραμμένο στους Δελφούς», λέει ο Kivilevich. Η RET κατέστησε σαφές ότι δεν είναι ο δημιουργός του κακόβουλου λογισμικού, προσθέτει.
Ο κωδικός που ήταν σε πώληση φαίνεται να ήταν για μια έκδοση του Zeppelin που διόρθωσε πολλαπλές αδυναμίες στις ρουτίνες κρυπτογράφησης της αρχικής έκδοσης. Αυτές οι αδυναμίες επέτρεψαν σε ερευνητές από την εταιρεία κυβερνοασφάλειας Unit221B να σπάσουν τα κλειδιά κρυπτογράφησης του Zeppelin και, για σχεδόν δύο χρόνια, να βοηθήσουν αθόρυβα τις οργανώσεις-θύματα να αποκρυπτογραφήσουν κλειδωμένα δεδομένα. Η δραστηριότητα RaaS που σχετίζεται με το Zeppelin μειώθηκε μετά τα νέα της Unit22B μυστικό εργαλείο αποκρυπτογράφησης έγινε δημόσια τον Νοέμβριο του 2022.
Ο Kivilevich λέει ότι οι μόνες πληροφορίες σχετικά με τον κώδικα που πρόσφερε προς πώληση το RET ήταν ένα στιγμιότυπο οθόνης του πηγαίου κώδικα. Με βάση αυτές τις πληροφορίες και μόνο, είναι δύσκολο για το KELA να εκτιμήσει εάν ο κωδικός είναι γνήσιος ή όχι, λέει. Ωστόσο, ο ηθοποιός απειλών RET ήταν ενεργός σε τουλάχιστον δύο άλλα φόρουμ για το έγκλημα στον κυβερνοχώρο χρησιμοποιώντας διαφορετικούς χειρισμούς και φαίνεται να έχει δημιουργήσει κάποιου είδους αξιοπιστία σε ένα από αυτά.
«Σε ένα από αυτά, έχει καλή φήμη και τρεις επιβεβαιωμένες επιτυχημένες συμφωνίες μέσω της υπηρεσίας μεσάζοντα του φόρουμ, κάτι που προσθέτει κάποια αξιοπιστία στον ηθοποιό», λέει ο Kivilevich.
«Το KELA έχει δει επίσης μια ουδέτερη κριτική από έναν αγοραστή ενός από τα προϊόντα του, το οποίο φαίνεται να είναι μια λύση παράκαμψης προστασίας από ιούς. Η κριτική είπε ότι είναι σε θέση να εξουδετερώσει ένα antivirus παρόμοιο με το Windows Defender, αλλά δεν θα λειτουργήσει σε «σοβαρό» antivirus», προσθέτει.
Μια κάποτε ισχυρή απειλή συντρίβεται και εγκαύματα
Το Zeppelin είναι ransomware το οποίο οι φορείς απειλών έχουν χρησιμοποιήσει σε πολλαπλές επιθέσεις σε στόχους των ΗΠΑ που χρονολογούνται τουλάχιστον από το 2019. Το κακόβουλο λογισμικό είναι παράγωγο του VegaLocker, ενός ransomware γραμμένου στη γλώσσα προγραμματισμού Delphi. Τον Αύγουστο του 2022, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και το FBI δημοσίευσαν δείκτες συμβιβασμού και λεπτομέρειες σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που χρησιμοποιούσαν οι φορείς της Zeppelin για τη διανομή του κακόβουλου λογισμικού και τη μόλυνση των συστημάτων.
Εκείνη την εποχή, η CISA περιέγραψε το κακόβουλο λογισμικό ως χρήση σε πολλές επιθέσεις σε στόχους των ΗΠΑ, συμπεριλαμβανομένων εργολάβων άμυνας, κατασκευαστών, εκπαιδευτικών ιδρυμάτων, εταιρειών τεχνολογίας και ιδιαίτερα οργανισμών στον κλάδο της ιατρικής και της υγειονομικής περίθαλψης. Οι αρχικές απαιτήσεις για λύτρα σε επιθέσεις που αφορούσαν το Zeppelin κυμαίνονταν από μερικές χιλιάδες δολάρια έως πάνω από ένα εκατομμύριο δολάρια σε ορισμένες περιπτώσεις.
Ο Kivilevich λέει ότι είναι πιθανό ο αγοραστής του πηγαίου κώδικα του Zeppelin να κάνει ό,τι κάνουν οι άλλοι όταν έχουν αποκτήσει κώδικα κακόβουλου λογισμικού.
«Στο παρελθόν, έχουμε δει διαφορετικούς παράγοντες να επαναχρησιμοποιούν τον πηγαίο κώδικα άλλων στελεχών στις δραστηριότητές τους, επομένως είναι πιθανό ο αγοραστής να χρησιμοποιήσει τον κώδικα με τον ίδιο τρόπο», λέει. «Για παράδειγμα, η διαρροή LockBit 3.0 οικοδόμος υιοθετήθηκε από το Bl00dy, χρησιμοποιούσαν οι ίδιοι οι LockBit διέρρευσε ο πηγαίος κώδικας Conti και κώδικα που αγόρασαν από το BlackMatter, και ένα από τα πρόσφατα παραδείγματα είναι η Hunters International που ισχυρίστηκε ότι αγόρασε τον πηγαίο κώδικα Hive."
Ο Kivilevich λέει ότι δεν είναι πολύ σαφές γιατί ο ηθοποιός απειλών RET μπορεί να πούλησε τον πηγαίο κώδικα και το builder του Zeppelin για μόλις 500 $. «Δύσκολο να το πω», λέει. «Ενδεχομένως να μην πίστευε ότι ήταν αρκετά εξελιγμένο για υψηλότερη τιμή - λαμβάνοντας υπόψη ότι κατάφερε να πάρει τον πηγαίο κώδικα αφού έσπασε το πρόγραμμα κατασκευής. Αλλά δεν θέλουμε να κάνουμε εικασίες εδώ».
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :έχει
- :είναι
- :δεν
- :που
- 2019
- 2022
- 31
- a
- Ικανός
- αποκτήθηκαν
- απέναντι
- ενεργός
- δραστηριότητα
- φορείς
- Προσθέτει
- θετός
- Μετά το
- πρακτορείο
- επιτρέπεται
- alone
- Επίσης
- μεταξύ των
- an
- και
- και την υποδομή
- προστασίας από ιούς
- εμφανίζεται
- ΕΙΝΑΙ
- AS
- εκτιμώ
- At
- Επιθέσεις
- Αύγουστος
- συγγραφέας
- πίσω
- βασίζονται
- BE
- έγινε
- ήταν
- είναι
- Builder
- επιχειρήσεις
- αλλά
- ΑΓΟΡΑΣΤΗΣ..
- by
- παρακάμψει
- ήρθε
- έλαμψε
- ισχυρίστηκε
- καθαρός
- κωδικός
- Εταιρείες
- συμβιβασμός
- ΕΠΙΒΕΒΑΙΩΜΕΝΟΣ
- θεωρώντας
- Conti
- εργολάβοι
- Διορθώθηκε
- θα μπορούσε να
- Ζευγάρι
- ρωγμή
- Ραγισμένο
- ράγισμα
- Αξιοπιστία
- Έγκλημα
- κρίσιμης
- Υποδομές κρίσιμης σημασίας
- εγκλήματος στον κυβερνοχώρο
- Κυβερνασφάλεια
- Υπηρεσία Ασφάλειας στον Κυβερνοχώρο και Ασφάλεια Υποδομών
- σκοτάδι
- Dark Web
- ημερομηνία
- Ημ.
- Προσφορές
- Δεκέμβριος
- Δεκέμβριος
- Αποκρυπτογράφηση
- Άμυνα
- μακαρίτης
- Δελφοί
- απαιτήσεις
- παραγωγό
- περιγράφεται
- καθέκαστα
- didn
- διαφορετικές
- διανέμω
- do
- δολάρια
- Don
- εκπαιδευτικών
- κρυπτογράφηση
- αρκετά
- ειδικά
- εγκατεστημένος
- Αιθέρας (ΕΤΗ)
- παράδειγμα
- παραδείγματα
- FBI
- Το fbi κυκλοφόρησε
- Χαρακτηρίζοντας
- λίγοι
- Εταιρεία
- Για
- Φόρουμ
- φόρουμ
- από
- γνήσια
- παίρνω
- μετάβαση
- καλός
- είχε
- λαβή
- Handles
- Σκληρά
- Έχω
- he
- υγειονομική περίθαλψη
- βοήθεια
- εδώ
- υψηλότερο
- του
- Κυψέλη
- φιλοξενείται
- Πως
- Ωστόσο
- HTTPS
- if
- in
- Συμπεριλαμβανομένου
- δείκτες
- βιομηχανίες
- πληροφορίες
- Υποδομή
- αρχικός
- περιπτώσεις
- ιδρυμάτων
- International
- συμμετοχή
- Ισραηλίτης
- IT
- jpg
- μόλις
- πλήκτρα
- Γλώσσα
- σε μεγάλο βαθμό
- Αργά
- αργότερα
- διαρροή
- ελάχιστα
- Πιθανός
- κλειδωμένη
- που
- malware
- διαχειρίζεται
- Κατασκευαστές
- πολοί
- ιατρικών
- μέλος
- ενδέχεται να
- εκατομμύριο
- εκατομμύρια δολάρια
- πολλαπλούς
- σχεδόν
- Ουδέτερος
- νέα
- Νοέμβριος
- πολυάριθμες
- λαμβάνεται
- of
- off
- προσφέρονται
- προσφορά
- on
- μια φορά
- ONE
- αποκλειστικά
- λειτουργίες
- or
- οργανώσεις
- πρωτότυπο
- ΑΛΛΑ
- Άλλα
- επί
- Το παρελθόν
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δυνατός
- πιθανώς
- τιμή
- διαδικασίες
- Προϊόντα
- Προγραμματισμός
- δημόσιο
- αγοράσει
- αγοραστής
- ήσυχα
- Αναβαθμίδα
- Λύτρα
- ransomware
- πρόσφατος
- κυκλοφόρησε
- φήμη
- έρευνα
- ερευνητές
- ανασκόπηση
- ρωσικός
- s
- Είπε
- πώληση
- ίδιο
- λέει
- Τομείς
- ασφάλεια
- φαίνεται
- δει
- Πωλήσεις
- σοβαρός
- υπηρεσία
- διάφοροι
- αυτή
- Σήμα
- παρόμοιες
- ιστοσελίδα
- So
- πωλούνται
- λύση
- μερικοί
- εξελιγμένα
- Πηγή
- πρωτογενής κώδικας
- καθορίζεται
- Στελέχη
- επιτυχής
- συστήματα
- T
- τακτική
- στόχους
- τεχνικές
- Τεχνολογία
- εταιρείες τεχνολογίας
- πει
- ότι
- Η
- Η Πηγη
- τους
- Τους
- τους
- αυτοί
- πράγματα
- νομίζω
- εκείνοι
- χίλια
- απειλή
- απειλή
- τρία
- Μέσω
- ώρα
- προς την
- δύο
- ασαφές
- us
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- Ve
- εκδοχή
- πολύ
- Θύμα
- θέλω
- ήταν
- Τρόπος..
- we
- ιστός
- ήταν
- Τι
- πότε
- Ποιό
- Ο ΟΠΟΊΟΣ
- WHY
- θα
- παράθυρα
- Κέρδισε
- Εργασία
- γραπτή
- χρόνια
- zephyrnet
- Zeppelin