Το Zeppelin Ransomware Source Code & Builder πωλείται για 500 $ στο Dark Web

Ένας ηθοποιός απειλών πούλησε για μόλις 500 δολάρια τον πηγαίο κώδικα και ένα σπασμένο πρόγραμμα δημιουργίας για το Zeppelin, ένα ρωσικό στέλεχος ransomware που χρησιμοποιήθηκε σε πολυάριθμες επιθέσεις σε αμερικανικές επιχειρήσεις και οργανισμούς σε τομείς ζωτικής σημασίας υποδομής στο παρελθόν.

Η πώληση θα μπορούσε να σηματοδοτήσει την αναβίωση ενός ransomware-as-a-service (RaaS) που περιλαμβάνει το Zeppelin, σε μια εποχή που πολλοί είχαν διαγράψει το κακόβουλο λογισμικό ως σε μεγάλο βαθμό μη λειτουργικό και ανενεργό.

Fire Sale στο RAMP Crime Forum

Ερευνητές στην ισραηλινή εταιρεία κυβερνοασφάλειας KELA εντόπισαν στα τέλη Δεκεμβρίου έναν παράγοντα απειλών που χρησιμοποιεί τη λαβή "RET" που προσφέρει τον πηγαίο κώδικα και το πρόγραμμα δημιουργίας για το Zeppelin2 προς πώληση στο RAMP, ένα ρωσικό φόρουμ για το έγκλημα στον κυβερνοχώρο που, μεταξύ άλλων, κάποτε φιλοξενούσε τον ιστότοπο διαρροής του ransomware Babuk. Μερικές μέρες αργότερα, στις 31 Δεκεμβρίου, ο ηθοποιός της απειλής ισχυρίστηκε ότι πούλησε το κακόβουλο λογισμικό σε ένα μέλος του φόρουμ RAMP.

Victoria Kivilevich, διευθυντής έρευνας απειλών στο KELA, λέει ότι δεν είναι σαφές πώς ή από πού, ο παράγοντας της απειλής θα μπορούσε να έχει αποκτήσει τον κωδικό και το builder για το Zeppelin. «Ο πωλητής διευκρίνισε ότι «συνάντησαν» το πρόγραμμα κατασκευής και το έσπασαν για να εξάγουν τον πηγαίο κώδικα γραμμένο στους Δελφούς», λέει ο Kivilevich. Η RET κατέστησε σαφές ότι δεν είναι ο δημιουργός του κακόβουλου λογισμικού, προσθέτει.

Ο κωδικός που ήταν σε πώληση φαίνεται να ήταν για μια έκδοση του Zeppelin που διόρθωσε πολλαπλές αδυναμίες στις ρουτίνες κρυπτογράφησης της αρχικής έκδοσης. Αυτές οι αδυναμίες επέτρεψαν σε ερευνητές από την εταιρεία κυβερνοασφάλειας Unit221B να σπάσουν τα κλειδιά κρυπτογράφησης του Zeppelin και, για σχεδόν δύο χρόνια, να βοηθήσουν αθόρυβα τις οργανώσεις-θύματα να αποκρυπτογραφήσουν κλειδωμένα δεδομένα. Η δραστηριότητα RaaS που σχετίζεται με το Zeppelin μειώθηκε μετά τα νέα της Unit22B μυστικό εργαλείο αποκρυπτογράφησης έγινε δημόσια τον Νοέμβριο του 2022.

Ο Kivilevich λέει ότι οι μόνες πληροφορίες σχετικά με τον κώδικα που πρόσφερε προς πώληση το RET ήταν ένα στιγμιότυπο οθόνης του πηγαίου κώδικα. Με βάση αυτές τις πληροφορίες και μόνο, είναι δύσκολο για το KELA να εκτιμήσει εάν ο κωδικός είναι γνήσιος ή όχι, λέει. Ωστόσο, ο ηθοποιός απειλών RET ήταν ενεργός σε τουλάχιστον δύο άλλα φόρουμ για το έγκλημα στον κυβερνοχώρο χρησιμοποιώντας διαφορετικούς χειρισμούς και φαίνεται να έχει δημιουργήσει κάποιου είδους αξιοπιστία σε ένα από αυτά.

«Σε ένα από αυτά, έχει καλή φήμη και τρεις επιβεβαιωμένες επιτυχημένες συμφωνίες μέσω της υπηρεσίας μεσάζοντα του φόρουμ, κάτι που προσθέτει κάποια αξιοπιστία στον ηθοποιό», λέει ο Kivilevich.

«Το KELA έχει δει επίσης μια ουδέτερη κριτική από έναν αγοραστή ενός από τα προϊόντα του, το οποίο φαίνεται να είναι μια λύση παράκαμψης προστασίας από ιούς. Η κριτική είπε ότι είναι σε θέση να εξουδετερώσει ένα antivirus παρόμοιο με το Windows Defender, αλλά δεν θα λειτουργήσει σε «σοβαρό» antivirus», προσθέτει.

Μια κάποτε ισχυρή απειλή συντρίβεται και εγκαύματα

Το Zeppelin είναι ransomware το οποίο οι φορείς απειλών έχουν χρησιμοποιήσει σε πολλαπλές επιθέσεις σε στόχους των ΗΠΑ που χρονολογούνται τουλάχιστον από το 2019. Το κακόβουλο λογισμικό είναι παράγωγο του VegaLocker, ενός ransomware γραμμένου στη γλώσσα προγραμματισμού Delphi. Τον Αύγουστο του 2022, η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών των ΗΠΑ (CISA) και το FBI δημοσίευσαν δείκτες συμβιβασμού και λεπτομέρειες σχετικά με τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που χρησιμοποιούσαν οι φορείς της Zeppelin για τη διανομή του κακόβουλου λογισμικού και τη μόλυνση των συστημάτων.

Εκείνη την εποχή, η CISA περιέγραψε το κακόβουλο λογισμικό ως χρήση σε πολλές επιθέσεις σε στόχους των ΗΠΑ, συμπεριλαμβανομένων εργολάβων άμυνας, κατασκευαστών, εκπαιδευτικών ιδρυμάτων, εταιρειών τεχνολογίας και ιδιαίτερα οργανισμών στον κλάδο της ιατρικής και της υγειονομικής περίθαλψης. Οι αρχικές απαιτήσεις για λύτρα σε επιθέσεις που αφορούσαν το Zeppelin κυμαίνονταν από μερικές χιλιάδες δολάρια έως πάνω από ένα εκατομμύριο δολάρια σε ορισμένες περιπτώσεις.

Ο Kivilevich λέει ότι είναι πιθανό ο αγοραστής του πηγαίου κώδικα του Zeppelin να κάνει ό,τι κάνουν οι άλλοι όταν έχουν αποκτήσει κώδικα κακόβουλου λογισμικού.

«Στο παρελθόν, έχουμε δει διαφορετικούς παράγοντες να επαναχρησιμοποιούν τον πηγαίο κώδικα άλλων στελεχών στις δραστηριότητές τους, επομένως είναι πιθανό ο αγοραστής να χρησιμοποιήσει τον κώδικα με τον ίδιο τρόπο», λέει. «Για παράδειγμα, η διαρροή LockBit 3.0 οικοδόμος υιοθετήθηκε από το Bl00dy, χρησιμοποιούσαν οι ίδιοι οι LockBit διέρρευσε ο πηγαίος κώδικας Conti και κώδικα που αγόρασαν από το BlackMatter, και ένα από τα πρόσφατα παραδείγματα είναι η Hunters International που ισχυρίστηκε ότι αγόρασε τον πηγαίο κώδικα Hive."

Ο Kivilevich λέει ότι δεν είναι πολύ σαφές γιατί ο ηθοποιός απειλών RET μπορεί να πούλησε τον πηγαίο κώδικα και το builder του Zeppelin για μόλις 500 $. «Δύσκολο να το πω», λέει. «Ενδεχομένως να μην πίστευε ότι ήταν αρκετά εξελιγμένο για υψηλότερη τιμή - λαμβάνοντας υπόψη ότι κατάφερε να πάρει τον πηγαίο κώδικα αφού έσπασε το πρόγραμμα κατασκευής. Αλλά δεν θέλουμε να κάνουμε εικασίες εδώ».

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web