یک بازیگر تهدید فقط 500 دلار کد منبع و یک سازنده کرک شده برای Zeppelin، یک نوع باجافزار روسی که در گذشته در حملات متعدد به کسبوکارها و سازمانهای آمریکایی در بخشهای زیرساختی حیاتی استفاده میشد، فروخته است.
این فروش می تواند نشان دهنده احیای باج افزار به عنوان یک سرویس (RaaS) با زپلین باشد، در زمانی که بسیاری این بدافزار را تا حد زیادی غیرعملیاتی و منحل کرده بودند.
فروش آتش در انجمن جنایی RAMP
محققان شرکت امنیت سایبری اسرائیلی KELA در اواخر دسامبر یک عامل تهدید را با استفاده از دسته "RET" مشاهده کردند که کد منبع و سازنده Zeppelin2 را برای فروش در RAMP، یک انجمن جرایم سایبری روسی که، در میان چیزهای دیگر، زمانی میزبان سایت نشت باج افزار Babuk بود، ارائه می کرد. چند روز بعد، در 31 دسامبر، بازیگر تهدید ادعا کرد که بدافزار را به یکی از اعضای انجمن RAMP فروخته است.
ویکتوریا کیویلویچ، مدیر تحقیقات تهدید در KELA میگوید مشخص نیست عامل تهدید چگونه یا از کجا ممکن است کد و سازنده Zeppelin را به دست آورده باشد. کیویلیویچ میگوید: «فروشنده مشخص کرده است که با سازنده برخورد کرده و آن را برای استخراج کد منبع نوشته شده در دلفی شکستهاند. او اضافه می کند که RET روشن کرده است که آنها نویسنده بدافزار نیستند.
به نظر میرسد کدی که به فروش میرسد مربوط به نسخهای از Zeppelin است که چندین ضعف را در روالهای رمزگذاری نسخه اصلی اصلاح کرده است. این نقاط ضعف به محققان شرکت امنیت سایبری Unit221B اجازه داده بود تا کلیدهای رمزگذاری Zeppelin را بشکنند و برای نزدیک به دو سال بی سر و صدا به سازمان های قربانی کمک کنند تا داده های قفل شده را رمزگشایی کنند. فعالیت RaaS مربوط به Zeppelin پس از اخبار مربوط به Unit22B کاهش یافت ابزار رمزگشایی مخفی در نوامبر 2022 عمومی شد.
Kivilevich میگوید تنها اطلاعاتی که در مورد کدی که RET برای فروش ارائه کرده بود، تصویری از کد منبع بود. او میگوید که تنها بر اساس این اطلاعات، ارزیابی اینکه آیا کد واقعی است یا نه، برای KELA دشوار است. با این حال، عامل تهدید RET در حداقل دو انجمن جرایم سایبری دیگر با استفاده از دستههای مختلف فعال بوده است و به نظر میرسد که در یکی از آنها نوعی اعتبار ایجاد کرده است.
کیویلیویچ میگوید: «در یکی از آنها، او شهرت خوبی دارد، و سه قرارداد موفقیتآمیز تایید شده از طریق سرویس واسطههای فروم، که اعتباری به بازیگر میافزاید.»
KELA همچنین یک بررسی خنثی از خریدار یکی از محصولات خود دیده است که به نظر می رسد یک راه حل بای پس آنتی ویروس باشد. این بررسی میگوید که میتواند یک آنتیویروس مشابه Windows Defender را خنثی کند، اما روی آنتیویروس «جدی» کار نمیکند.
یک تهدید یک بار قوی سقوط می کند و می سوزد
Zeppelin باج افزاری است که عوامل تهدید در حملات متعدد به اهداف ایالات متحده حداقل به سال 2019 از آن استفاده کرده اند. این بدافزار مشتق شده از VegaLocker، باج افزاری است که به زبان برنامه نویسی دلفی نوشته شده است. در آگوست 2022، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده (CISA) و FBI شاخصهایی از مصالحه و جزئیات مربوط به تاکتیکها، تکنیکها و رویهها (TTP) را منتشر کردند که بازیگران Zeppelin برای توزیع بدافزار و آلوده کردن سیستمها استفاده میکردند.
در آن زمان، CISA این بدافزار را به عنوان استفاده از این بدافزار در چندین حمله به اهداف ایالات متحده از جمله پیمانکاران دفاعی، تولیدکنندگان، مؤسسات آموزشی، شرکتهای فناوری و بهویژه سازمانهای صنایع پزشکی و بهداشتی توصیف کرد. باجخواهیهای اولیه در حملاتی که زپلین را شامل میشد، از چند هزار دلار تا بیش از یک میلیون دلار در برخی موارد متغیر بود.
Kivilevich میگوید این احتمال وجود دارد که خریدار کد منبع Zeppelin همان کاری را انجام دهد که دیگران پس از دریافت کد بدافزار انجام میدهند.
او میگوید: «در گذشته، بازیگران مختلفی را دیدهایم که از کد منبع سویههای دیگر در عملیات خود استفاده مجدد میکنند، بنابراین ممکن است خریدار از کد به همان شیوه استفاده کند. «به عنوان مثال، لو رفته LockBit 3.0 سازنده توسط Bl00dy به تصویب رسید، LockBit خود استفاده می کردند کد منبع Conti لو رفته و کدهایی را که از BlackMatter خریداری کردند، و یکی از نمونههای اخیر Hunters International است که مدعی شد کد منبع Hive را خریداری کرده است.
Kivilevich میگوید خیلی واضح نیست که چرا عامل تهدید RET ممکن است کد منبع و سازنده Zeppelin را تنها به قیمت 500 دلار فروخته باشد. او می گوید: «گفتنش سخت است. "احتمالا او فکر نمی کرد که برای قیمت بالاتر به اندازه کافی پیچیده باشد - با توجه به اینکه او پس از شکستن سازنده موفق به دریافت کد منبع شد. اما ما نمیخواهیم در اینجا گمانهزنی کنیم.»
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- : دارد
- :است
- :نه
- :جایی که
- 2019
- 2022
- 31
- a
- قادر
- به دست آورد
- در میان
- فعال
- فعالیت
- بازیگران
- می افزاید:
- به تصویب رسید
- پس از
- نمایندگی
- مجاز
- تنها
- همچنین
- در میان
- an
- و
- و زیرساخت
- آنتی ویروس
- ظاهر می شود
- هستند
- AS
- ارزیابی کنید
- At
- حمله
- اوت
- نویسنده
- به عقب
- مستقر
- BE
- شد
- بوده
- بودن
- سازنده
- کسب و کار
- اما
- خریدار..
- by
- گذرگاه
- آمد
- CISA
- ادعا کرد که
- واضح
- رمز
- شرکت
- سازش
- تایید شده
- با توجه به
- کنتی
- پیمانکاران
- اصلاح شده
- میتوانست
- زن و شوهر
- ترک
- ترک خورده
- ترک خوردن
- اعتبار
- جرم
- بحرانی
- زیرساخت های بحرانی
- جرایم اینترنتی
- امنیت سایبری
- امنیت سایبری و آژانس امنیت زیرساخت
- تاریک
- وب سایت تیره
- داده ها
- روز
- معاملات
- دسامبر
- دسامبر
- رمزگشایی کنید
- دفاع
- منقرض شده
- دلفی
- خواسته
- مشتق
- شرح داده شده
- جزئیات
- نشد
- مختلف
- توزیع کردن
- do
- دلار
- دان
- آموزش
- رمزگذاری
- کافی
- به خصوص
- تاسیس
- اتر (ETH)
- مثال
- مثال ها
- اف بی آی
- fbi منتشر شد
- ویژگی های
- کمی از
- شرکت
- برای
- انجمن
- انجمن
- از جانب
- واقعی
- دریافت کنید
- رفتن
- خوب
- بود
- دسته
- دستگیره
- سخت
- آیا
- he
- بهداشت و درمان
- کمک
- اینجا کلیک نمایید
- بالاتر
- خود را
- کندو
- میزبانی
- چگونه
- اما
- HTTPS
- if
- in
- از جمله
- شاخص ها
- لوازم
- اطلاعات
- شالوده
- اول
- نمونه ها
- موسسات
- بین المللی
- شامل
- اسرائیلی
- IT
- JPG
- تنها
- کلید
- زبان
- تا حد زیادی
- دیر
- بعد
- نشت
- کمترین
- احتمالا
- قفل شده
- ساخته
- نرم افزارهای مخرب
- اداره می شود
- تولید کنندگان
- بسیاری
- پزشکی
- عضو
- قدرت
- میلیون
- میلیون دلار
- چندگانه
- تقریبا
- خنثی
- اخبار
- نوامبر
- متعدد
- به دست آمده
- of
- خاموش
- ارائه شده
- ارائه
- on
- یک بار
- ONE
- فقط
- عملیات
- or
- سازمان های
- اصلی
- دیگر
- دیگران
- روی
- گذشته
- افلاطون
- هوش داده افلاطون
- PlatoData
- ممکن
- احتمالا
- قیمت
- روش
- محصولات
- برنامه نويسي
- عمومی
- خریداری شده
- خریدار
- ملایم
- رمپ
- فدیه
- باجافزار
- اخیر
- منتشر شد
- شهرت
- تحقیق
- محققان
- این فایل نقد می نویسید:
- روسی
- s
- سعید
- فروش
- همان
- می گوید:
- بخش ها
- تیم امنیت لاتاری
- به نظر می رسد
- مشاهده گردید
- فروش
- جدی
- سرویس
- چند
- او
- سیگنال
- مشابه
- سایت
- So
- فروخته شده
- راه حل
- برخی از
- مصنوعی
- منبع
- کد منبع
- مشخص شده
- فشارها
- موفق
- سیستم های
- T
- تاکتیک
- اهداف
- تکنیک
- پیشرفته
- شرکتهای فناوری
- گفتن
- که
- La
- منبع
- شان
- آنها
- خودشان
- آنها
- اشیاء
- فکر می کنم
- کسانی که
- هزار
- تهدید
- بازیگران تهدید
- سه
- از طریق
- زمان
- به
- دو
- غیر واضح
- us
- استفاده کنید
- استفاده
- با استفاده از
- Ve
- نسخه
- بسیار
- قربانی
- می خواهم
- بود
- مسیر..
- we
- وب
- بود
- چی
- چه زمانی
- که
- WHO
- چرا
- اراده
- پنجره
- برنده شد
- مهاجرت کاری
- کتبی
- سال
- زفیرنت
- زپلین