Uhkatoimija on myynyt vain 500 dollarilla lähdekoodin ja murretun rakentajan Zeppelinille, venäläiselle kiristysohjelmakannalle, jota on käytetty useissa hyökkäyksissä yhdysvaltalaisia yrityksiä ja organisaatioita vastaan kriittisen infrastruktuurin aloilla.
Myynti saattoi merkitä Zeppeliniä sisältävän ransomware-as-a-service (RaaS) -ohjelman elpymistä aikana, jolloin monet olivat kirjoittaneet haittaohjelman suurelta osin toimintakyvyttömiksi ja poistuneiksi.
Palomyynti RAMP Crime Forumissa
Israelilaisen kyberturvallisuusyrityksen KELA:n tutkijat havaitsivat joulukuun lopulla RET-kahvaa käyttävän uhkatoimijan, joka tarjosi Zeppelin2:n lähdekoodia ja rakentajaa myyntiin RAMP-sivustolla, venäläisellä kyberrikollisuusfoorumilla, joka muun muassa isännöi aikoinaan Babukin kiristysohjelman vuotosivustoa. Muutamaa päivää myöhemmin, 31. joulukuuta, uhkatekijä väitti myyneensä haittaohjelman RAMP-foorumin jäsenelle.
Victoria Kivilevich, KELA:n uhkatutkimuksen johtajan mukaan on epäselvää, miten tai mistä uhkatoimija saattoi hankkia Zeppelinin koodin ja rakentajan. "Myyjä on täsmentänyt, että he " törmäsivät" rakentajaan ja mursivat sen suodattamaan Delphissä kirjoitetun lähdekoodin", Kivilevich kertoo. RET on tehnyt selväksi, että he eivät ole haittaohjelman tekijä, hän lisää.
Myynnissä oleva koodi näyttää olleen Zeppelin-versiolle, joka korjasi useita heikkouksia alkuperäisen version salausrutiineissa. Nämä heikkoudet olivat antaneet kyberturvallisuusyrityksen Unit221B:n tutkijoille mahdollisuuden murtaa Zeppelinin salausavaimia ja auttaa uhriorganisaatioita hiljaa lähes kahden vuoden ajan purkamaan lukittujen tietojen salauksen. Zeppeliniin liittyvä RaaS-aktiviteetti laski Unit22B:n uutisten jälkeen salainen salauksen purkutyökalu tuli julkisuuteen marraskuussa 2022.
Kivilevich sanoo, että ainoa tieto koodista, jonka RET tarjosi myyntiin, oli kuvakaappaus lähdekoodista. Pelkästään näiden tietojen perusteella KELAn on vaikea arvioida, onko koodi aito vai ei, hän sanoo. Uhkatoimija RET on kuitenkin ollut aktiivinen ainakin kahdella muulla kyberrikosfoorumilla eri kahvoilla ja näyttää saaneen jonkinlaisen uskottavuuden yhdelle niistä.
"Yhdessä heistä hänellä on hyvä maine ja kolme vahvistettua onnistunutta kauppaa foorumivälityspalvelun kautta, mikä lisää näyttelijälle uskottavuutta", Kivilevich sanoo.
”KELA on saanut myös neutraalin arvion ostajalta yhdestä tuotteestaan, joka näyttää olevan virustentorjunnan ohitusratkaisu. Katsauksessa todettiin, että se pystyy neutraloimaan Windows Defenderin kaltaisen virustorjunnan, mutta se ei toimi "vakavassa" virustorjunnassa", hän lisää.
Kerran voimakas uhka Kolarit ja palovammat
Zeppelin on kiristysohjelma, jota uhkatoimijat ovat käyttäneet useissa hyökkäyksissä yhdysvaltalaisia kohteita vastaan ainakin vuoteen 2019 asti. Haittaohjelma on johdannainen VegaLockerista, Delphi-ohjelmointikielellä kirjoitetusta kiristysohjelmasta. Elokuussa 2022 Yhdysvaltain kyberturvallisuus- ja infrastruktuuriturvavirasto (CISA) ja FBI julkaisivat kompromissin indikaattoreita ja yksityiskohtia taktiikoista, tekniikoista ja menettelyistä (TTP), joita Zeppelin-toimijat käyttivät haittaohjelmien levittämiseen ja järjestelmien tartuttamiseen.
Tuolloin CISA kuvaili haittaohjelmia useisiin hyökkäyksiin Yhdysvaltain kohteisiin, mukaan lukien puolustusalan urakoitsijat, valmistajat, oppilaitokset, teknologiayritykset ja erityisesti lääketieteen ja terveydenhuoltoalan organisaatiot. Alkuperäiset lunnaita koskevat vaatimukset Zeppeliniin kohdistuneissa hyökkäyksissä vaihtelivat muutamasta tuhannesta dollarista joissakin tapauksissa yli miljoonaan dollariin.
Kivilevich sanoo, että on todennäköistä, että Zeppelin-lähdekoodin ostaja tekee mitä muut ovat hankkineet haittaohjelmakoodin.
"Aiemmin olemme nähneet eri toimijoiden käyttävän toisten kantojen lähdekoodia uudelleen toiminnassaan, joten on mahdollista, että ostaja käyttää koodia samalla tavalla", hän sanoo. "Esimerkiksi vuotanut LockBit 3.0 Bl00dy hyväksyi builderin, jota LockBit itse käytti vuotanut Conti-lähdekoodi ja koodi, jonka he ostivat BlackMatterilta, ja yksi viimeaikaisista esimerkeistä on Hunters International, joka väitti ostaneensa Hiven lähdekoodin."
Kivilevich sanoo, ettei ole kovin selvää, miksi uhkanäyttelijä RET saattoi myydä Zeppelinin lähdekoodin ja rakennusohjelman vain 500 dollarilla. "Vaikea sanoa", hän sanoo. "Ehkä hänen mielestään se ei ollut tarpeeksi hienostunut korkeampaan hintaan - ottaen huomioon, että hän onnistui saamaan lähdekoodin murtautuessaan rakentajan. Mutta emme halua spekuloida täällä."
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :on
- :On
- :ei
- :missä
- 2019
- 2022
- 31
- a
- pystyy
- hankittu
- poikki
- aktiivinen
- toiminta
- toimijoiden
- Lisää
- hyväksytty
- Jälkeen
- toimisto
- sallittu
- yksin
- Myös
- keskuudessa
- an
- ja
- ja infrastruktuuri
- antivirus
- näyttää
- OVAT
- AS
- arvioida
- At
- Hyökkäykset
- Elokuu
- kirjoittaja
- takaisin
- perustua
- BE
- tuli
- ollut
- ovat
- rakentaja
- yritykset
- mutta
- OSTAJA..
- by
- ohittaa
- tuli
- CISA
- väitti
- selkeä
- koodi
- Yritykset
- kompromissi
- CONFIRMED
- ottaen huomioon
- Conti
- urakoitsijat
- korjattu
- voisi
- Pari
- crack
- säröillä
- halkeilua
- Uskottavuus
- Rikollisuus
- kriittinen
- Kriittinen infrastruktuuri
- tietoverkkorikollisuuden
- tietoverkkojen
- Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto
- tumma
- tumma Web
- tiedot
- päivää
- Tarjoukset
- joulukuu
- joulukuu
- Pura
- Puolustus
- kuollut
- Delfoi
- vaatii
- johdannainen
- on kuvattu
- yksityiskohdat
- ei tehnyt
- eri
- jakaa
- do
- dollaria
- Don
- koulutus-
- salaus
- tarpeeksi
- erityisesti
- vakiintunut
- Eetteri (ETH)
- esimerkki
- Esimerkit
- FBI
- fbi julkaistiin
- Featuring
- harvat
- Yritys
- varten
- foorumit
- foorumit
- alkaen
- aito
- saada
- menee
- hyvä
- HAD
- kahva
- Vetimet
- Kova
- Olla
- he
- terveydenhuollon
- auttaa
- tätä
- korkeampi
- hänen
- Hive
- isännöi
- Miten
- Kuitenkin
- HTTPS
- if
- in
- Mukaan lukien
- indikaattorit
- teollisuuden
- tiedot
- Infrastruktuuri
- ensimmäinen
- tapauksia
- laitokset
- kansainvälisesti
- johon
- israelilainen
- IT
- jpg
- vain
- avaimet
- Kieli
- suureksi osaksi
- Myöhään
- myöhemmin
- vuotaa
- vähiten
- Todennäköisesti
- lukittu
- tehty
- haittaohjelmat
- onnistui
- Valmistajat
- monet
- lääketieteellinen
- jäsen
- ehkä
- miljoona
- miljoona dollaria
- moninkertainen
- lähes
- Neutraali
- uutiset
- marraskuu
- useat
- saatu
- of
- pois
- tarjotaan
- tarjoamalla
- on
- kerran
- ONE
- vain
- Operations
- or
- organisaatioiden
- alkuperäinen
- Muut
- Muuta
- yli
- Ohi
- Platon
- Platonin tietotieto
- PlatonData
- mahdollinen
- mahdollisesti
- hinta
- menettelyt
- Tuotteemme
- Ohjelmointi
- julkinen
- osti
- ostaja
- hiljaa
- Ramppi
- Lunnaat
- ransomware
- äskettäinen
- julkaistu
- maine
- tutkimus
- Tutkijat
- arviot
- Venäjän kieli
- s
- Said
- myynti
- sama
- sanoo
- sektorit
- turvallisuus
- näyttää
- nähneet
- Sells
- vakava
- palvelu
- useat
- hän
- signaali
- samankaltainen
- paikka
- So
- myyty
- ratkaisu
- jonkin verran
- hienostunut
- lähde
- lähdekoodi
- määritelty
- kantoja
- onnistunut
- järjestelmät
- T
- taktiikka
- tavoitteet
- tekniikat
- Elektroniikka
- teknologiayritykset
- kertoa
- että
- -
- Lähde
- heidän
- Niitä
- itse
- ne
- asiat
- ajatella
- ne
- tuhat
- uhkaus
- uhka toimijat
- kolmella
- Kautta
- aika
- että
- kaksi
- epäselvä
- us
- käyttää
- käytetty
- käyttämällä
- Ve
- versio
- hyvin
- Uhri
- haluta
- oli
- Tapa..
- we
- verkko
- olivat
- Mitä
- kun
- joka
- KUKA
- miksi
- tulee
- ikkunat
- Voitetut
- Referenssit
- kirjallinen
- vuotta
- zephyrnet
- Zeppelin
