El código fuente y el constructor del ransomware Zeppelin se venden por 500 dólares en la Dark Web

Un actor de amenazas vendió por solo 500 dólares el código fuente y un constructor descifrado de Zeppelin, una cepa de ransomware rusa utilizada en numerosos ataques a empresas y organizaciones estadounidenses en sectores de infraestructura críticos en el pasado.

La venta podría indicar el resurgimiento de un ransomware como servicio (RaaS) con Zeppelin, en un momento en el que muchos habían descartado el malware como en gran medida no operativo y extinto.

Venta de liquidación en el foro RAMP Crime

Investigadores de la firma israelí de ciberseguridad KELA detectaron a finales de diciembre a un actor de amenazas que utilizaba el identificador “RET” y ofrecía el código fuente y el constructor de Zeppelin2 a la venta en RAMP, un foro ruso sobre cibercrimen que, entre otras cosas, alguna vez albergó el sitio de filtración del ransomware Babuk. Un par de días después, el 31 de diciembre, el actor de amenazas afirmó haber vendido el malware a un miembro del foro RAMP.

Victoria Kivilevich, director de investigación de amenazas de KELA, dice que no está claro cómo o de dónde el actor de amenazas pudo haber obtenido el código y el constructor de Zeppelin. "El vendedor ha especificado que 'encontraron' el constructor y lo descifraron para filtrar el código fuente escrito en Delphi", dice Kivilevich. RET ha dejado claro que no es el autor del malware, añade.

El código que estaba a la venta parece haber sido para una versión de Zeppelin que corrigió múltiples debilidades en las rutinas de cifrado de la versión original. Esas debilidades habían permitido a los investigadores de la firma de ciberseguridad Unit221B descifrar las claves de cifrado de Zeppelin y, durante casi dos años, ayudar silenciosamente a las organizaciones víctimas a descifrar datos bloqueados. La actividad RaaS relacionada con Zeppelin disminuyó después de las noticias de Unit22B herramienta de descifrado secreta se hizo público en noviembre de 2022.

Kivilevich dice que la única información sobre el código que RET puso a la venta fue una captura de pantalla del código fuente. Basándose únicamente en esa información, a KELA le resulta difícil evaluar si el código es genuino o no, afirma. Sin embargo, el actor de amenazas RET ha estado activo en al menos otros dos foros de cibercrimen utilizando diferentes identificadores y parece haber establecido algún tipo de credibilidad en uno de ellos.

"En uno de ellos tiene buena reputación y tres acuerdos exitosos confirmados a través del servicio de intermediario del foro, lo que añade cierta credibilidad al actor", dice Kivilevich.

“KELA también recibió una reseña neutral de un comprador de uno de sus productos, que parece ser una solución para evitar el antivirus. La revisión decía que es capaz de neutralizar un antivirus similar a Windows Defender, pero no funciona con antivirus "serios", añade.

Una amenaza que alguna vez fue potente colapsa y arde

Zeppelin es un ransomware que los actores de amenazas han utilizado en múltiples ataques contra objetivos estadounidenses desde al menos 2019. El malware es un derivado de VegaLocker, un ransomware escrito en el lenguaje de programación Delphi. En agosto de 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el FBI publicaron indicadores de compromiso y detalles sobre las tácticas, técnicas y procedimientos (TTP) que los actores de Zeppelin utilizaban para distribuir el malware e infectar los sistemas.

En ese momento, CISA describió que el malware se había utilizado en varios ataques contra objetivos estadounidenses, incluidos contratistas de defensa, fabricantes, instituciones educativas, empresas de tecnología y, especialmente, organizaciones de las industrias médica y sanitaria. Las demandas iniciales de rescate en ataques que involucraron a Zeppelin oscilaron entre unos pocos miles de dólares y más de un millón de dólares en algunos casos.

Kivilevich dice que es probable que el comprador del código fuente de Zeppelin haga lo que otros han hecho cuando han adquirido código de malware.

"En el pasado, hemos visto a diferentes actores reutilizar el código fuente de otras cepas en sus operaciones, por lo que es posible que el comprador utilice el código de la misma manera", afirma. “Por ejemplo, la información filtrada LockBit 3.0 El constructor fue adoptado por Bl00dy, los propios LockBit estaban usando código fuente de Conti filtrado y el código que compraron de BlackMatter, y uno de los ejemplos recientes es Hunters International, que afirmó haber comprado el código fuente de Hive”.

Kivilevich dice que no está muy claro por qué el actor de amenazas RET podría haber vendido el código fuente y el constructor de Zeppelin por sólo 500 dólares. "Es difícil saberlo", dice. “Posiblemente no pensó que fuera lo suficientemente sofisticado por un precio más alto, considerando que logró obtener el código fuente después de descifrar el constructor. Pero no queremos especular aquí”.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web