Ohtnäitleja müüs vaid 500 dollari eest Zeppelini, Venemaa lunavaratüve lähtekoodi ja murtud ehitaja, mida on varem kasutatud arvukates rünnakutes USA ettevõtete ja organisatsioonide vastu kriitilise infrastruktuuri sektorites.
Müük võib anda märku Zeppelini sisaldava lunavara-as-a-service (RaaS) taaselustamisest ajal, mil paljud olid pahavara suures osas mittetoimivana ja kadunud.
Tulekahju müük RAMP-i kuritegevuse foorumil
Iisraeli küberjulgeolekufirma KELA teadlased märkasid detsembri lõpus ohutegijat, kes kasutas käepidet “RET”, kes pakkus Zeppelin2 lähtekoodi ja ehitajat müügiks Venemaa küberkuritegevuse foorumis RAMP, mis muu hulgas võõrustas kunagi Babuki lunavara lekkesaiti. Paar päeva hiljem, 31. detsembril, väitis ähvardaja, et müüs pahavara RAMP foorumi liikmele.
Victoria Kivilevitš, KELA ohuuuringute direktori sõnul on ebaselge, kuidas või kust võis ohutegija Zeppelini koodi ja ehitaja hankida. "Müüja on täpsustanud, et nad "tuldi kokku" ehitajaga ja murdsid selle lahti, et välja filtreerida Delphis kirjutatud lähtekood," räägib Kivilevitš. RET on teinud selgeks, et nad ei ole pahavara autor, lisab ta.
Näib, et müügil olnud kood oli mõeldud Zeppelini versioonile, mis parandas algversiooni krüpteerimisrutiinide mitu nõrkust. Need nõrkused võimaldasid küberjulgeolekufirma Unit221B teadlastel murda Zeppelini krüpteerimisvõtmed ja aidata peaaegu kaks aastat vaikselt ohvriorganisatsioonidel lukustatud andmeid dekrüpteerida. Zeppeliniga seotud RaaS-i aktiivsus vähenes pärast Unit22B uudiseid salajane dekrüpteerimise tööriist sai avalikuks 2022. aasta novembris.
Kivilevitš ütleb, et ainus info koodi kohta, mida RET müügiks pakkus, oli lähtekoodi ekraanipilt. Ainuüksi selle teabe põhjal on KELA-l raske hinnata, kas kood on ehtne või mitte, ütleb ta. Ohunäitleja RET on aga tegutsenud vähemalt kahel muul küberkuritegevuse foorumil, kasutades erinevaid käepidemeid, ja näib, et on saavutanud ühe neist usaldusväärsuse.
"Ühe puhul on tal hea maine ja kolm kinnitasid edukat tehingut foorumi vahendaja teenuse kaudu, mis lisab näitlejale usaldusväärsust," räägib Kivilevitš.
“KELA on näinud ka ühe tema toote ostja neutraalset arvustust, mis tundub olevat viirusetõrje möödaviigulahendus. Ülevaates öeldakse, et see suudab neutraliseerida Windows Defenderiga sarnase viirusetõrje, kuid see ei tööta "tõsise" viirusetõrjega," lisab ta.
Kunagine tugev oht kokkupõrked ja põletused
Zeppelin on lunavara, mida ohus osalejad on kasutanud mitmetes rünnakutes USA sihtmärkide vastu, ulatudes tagasi vähemalt 2019. aastani. Pahavara on Delphi programmeerimiskeeles kirjutatud lunavara VegaLockeri tuletis. 2022. aasta augustis avaldasid USA küberturvalisuse ja infrastruktuuri turbeagentuur (CISA) ja FBI kompromissinäitajad ning üksikasjad taktikate, tehnikate ja protseduuride (TTP-de) kohta, mida Zeppelini näitlejad kasutasid pahavara levitamiseks ja süsteemide nakatamiseks.
Sel ajal kirjeldas CISA pahavara kui seda, et seda kasutati mitmetes rünnakutes USA sihtmärkide vastu, sealhulgas kaitsetöövõtjate, tootjate, haridusasutuste, tehnoloogiaettevõtete ning eriti meditsiini- ja tervishoiutööstuse organisatsioonide vastu. Esialgsed lunarahanõuded Zeppeliniga seotud rünnakute puhul ulatusid mõnest tuhandest dollarist mõnel juhul üle miljoni dollarini.
Kivilevitš ütleb, et tõenäoliselt teeb Zeppelini lähtekoodi ostja seda, mida teised, kui nad on pahavarakoodi omandanud.
"Varem oleme näinud, et erinevad osalejad kasutavad oma tegevuses uuesti teiste tüvede lähtekoodi, mistõttu on võimalik, et ostja kasutab koodi samal viisil," ütleb ta. “Näiteks lekkinud LockBit 3.0 ehitaja võttis kasutusele Bl00dy, LockBit ise kasutas lekkis Conti lähtekood ja koodi, mille nad ostsid BlackMatterilt, ja üks hiljutistest näidetest on Hunters International, kes väitis, et ostis Hive lähtekoodi.
Kivilevitši sõnul pole väga selge, miks ohunäitleja RET võis müüa Zeppelini lähtekoodi ja ehitaja vaid 500 dollari eest. "Raske öelda," ütleb ta. "Võimalik, et ta ei arvanud, et see on kõrgema hinna jaoks piisavalt keerukas – arvestades, et tal õnnestus hankida lähtekood pärast ehitaja murdmist. Kuid me ei taha siin spekuleerida."
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :on
- :on
- :mitte
- : kus
- 2019
- 2022
- 31
- a
- Võimalik
- omandatud
- üle
- aktiivne
- tegevus
- osalejad
- Lisab
- vastu
- pärast
- agentuur
- lubatud
- üksi
- Ka
- vahel
- an
- ja
- infrastruktuuri
- viirusetõrje
- ilmub
- OLEME
- AS
- hinnata
- At
- Reageerib
- AUGUST
- autor
- tagasi
- põhineb
- BE
- sai
- olnud
- on
- ehitaja
- ettevõtted
- kuid
- OSTJA..
- by
- ümbersõidutee
- tuli
- CISA
- väitis
- selge
- kood
- Ettevõtted
- kompromiss
- KINNITATUD
- arvestades
- Conti
- töövõtjad
- Parandatud
- võiks
- Paar
- pragu
- krakitud
- Krakkimine
- usutavus
- Kuritegevus
- kriitiline
- Kriitiline infrastruktuur
- Küberkuritegevus
- Küberturvalisus
- Küberturvalisuse ja infrastruktuuri turvalisuse amet
- tume
- Dark Web
- andmed
- Päeva
- Pakkumised
- detsember
- Detsember
- Avaldage lahti
- kaitse
- kadunud
- Delphi
- nõudmisi
- tuletisinstrument
- kirjeldatud
- detailid
- ei teinud
- erinev
- levitada
- do
- dollarit
- don
- haridus-
- krüpteerimist
- piisavalt
- eriti
- asutatud
- Eeter (ETH)
- näide
- näited
- FBI
- fbi vabastati
- Lisaks
- vähe
- Firma
- eest
- foorumid
- Foorumid
- Alates
- ehtne
- saama
- läheb
- hea
- olnud
- käepide
- Varred
- Raske
- Olema
- he
- tervishoid
- aitama
- siin
- rohkem
- tema
- Mesilaspere
- võõrustas
- Kuidas
- aga
- HTTPS
- if
- in
- Kaasa arvatud
- näitajad
- tööstusharudes
- info
- Infrastruktuur
- esialgne
- juhtumid
- institutsioonid
- rahvusvaheliselt
- kaasates
- Iisraeli
- IT
- jpg
- lihtsalt
- võtmed
- keel
- suurelt jaolt
- Hilja
- pärast
- lekkima
- kõige vähem
- Tõenäoliselt
- lukus
- tehtud
- malware
- juhitud
- Tootjad
- palju
- meditsiini-
- liige
- võib
- miljon
- miljonit dollarit
- mitmekordne
- peaaegu
- Neutraalne
- uudised
- November
- arvukad
- saadud
- of
- maha
- pakutud
- pakkumine
- on
- kunagi
- ONE
- ainult
- Operations
- or
- organisatsioonid
- originaal
- Muu
- teised
- üle
- minevik
- Platon
- Platoni andmete intelligentsus
- PlatoData
- võimalik
- võimalik
- hind
- menetlused
- Toodet
- Programming
- avalik
- ostetud
- ostja
- vaikselt
- Ramp
- Lunaraha
- ransomware
- hiljuti
- vabastatud
- maine
- teadustöö
- Teadlased
- läbi
- vene
- s
- Ütlesin
- müük
- sama
- ütleb
- Sektorid
- turvalisus
- tundub
- nähtud
- Müüb
- tõsine
- teenus
- mitu
- ta
- Signaali
- sarnane
- site
- So
- müüdud
- lahendus
- mõned
- keeruline
- allikas
- lähtekoodi
- määratletud
- Tüved
- edukas
- süsteemid
- T
- taktika
- eesmärgid
- tehnikat
- Tehnoloogia
- tehnoloogiaettevõtted
- öelda
- et
- .
- Allikas
- oma
- Neile
- ennast
- nad
- asjad
- mõtlema
- need
- tuhat
- oht
- ohus osalejad
- kolm
- Läbi
- aeg
- et
- kaks
- ebaselge
- us
- kasutama
- Kasutatud
- kasutamine
- Ve
- versioon
- väga
- Ohver
- tahan
- oli
- Tee..
- we
- web
- olid
- M
- millal
- mis
- WHO
- miks
- will
- aknad
- Võitis
- Töö
- kirjalik
- aastat
- sephyrnet
- Zeppelin
