ज़ेपेलिन रैनसमवेयर सोर्स कोड और बिल्डर डार्क वेब पर $500 में बेचता है

ज़ेपेलिन रैनसमवेयर सोर्स कोड और बिल्डर डार्क वेब पर $500 में बेचता है

समय टिकट: 5 जनवरी, 2024 शाम 4:50 बजे
स्रोत नोड: 3049430

एक धमकी देने वाले अभिनेता ने केवल 500 डॉलर में स्रोत कोड और ज़ेपेलिन के लिए एक क्रैक किए गए बिल्डर को बेच दिया है, जो एक रूसी रैंसमवेयर स्ट्रेन है जिसका उपयोग अतीत में महत्वपूर्ण बुनियादी ढांचा क्षेत्रों में अमेरिकी व्यवसायों और संगठनों पर कई हमलों में किया गया था।

यह बिक्री ज़ेपेलिन की विशेषता वाले रैंसमवेयर-ए-ए-सर्विस (राएएस) के पुनरुद्धार का संकेत दे सकती है, ऐसे समय में जब कई लोगों ने मैलवेयर को बड़े पैमाने पर गैर-परिचालन और निष्क्रिय के रूप में लिखा था।

RAMP क्राइम फोरम पर फायर सेल

दिसंबर के अंत में इज़राइली साइबर सुरक्षा फर्म केईएलए के शोधकर्ताओं ने "आरईटी" हैंडल का उपयोग करते हुए एक खतरे वाले अभिनेता को देखा, जो रैमपी पर बिक्री के लिए ज़ेपेलिन2 के स्रोत कोड और बिल्डर की पेशकश कर रहा था, एक रूसी साइबर अपराध मंच, जो अन्य चीजों के अलावा, एक बार बाबुक रैंसमवेयर की लीक साइट की मेजबानी करता था। कुछ दिनों बाद, 31 दिसंबर को, धमकी देने वाले अभिनेता ने दावा किया कि उसने RAMP फोरम सदस्य को मैलवेयर बेच दिया है।

विक्टोरिया किविलेविच, केईएलए में खतरा अनुसंधान के निदेशक का कहना है कि यह स्पष्ट नहीं है कि खतरा पैदा करने वाले अभिनेता ने ज़ेपेलिन के लिए कोड और बिल्डर कैसे या कहां से प्राप्त किया होगा। किविलेविच कहते हैं, "विक्रेता ने निर्दिष्ट किया है कि वे बिल्डर के पास आए थे और डेल्फ़ी में लिखे स्रोत कोड को बाहर निकालने के लिए इसे क्रैक किया था।" उन्होंने आगे कहा कि आरईटी ने स्पष्ट कर दिया है कि वे मैलवेयर के लेखक नहीं हैं।

ऐसा प्रतीत होता है कि जो कोड बिक्री पर था वह ज़ेपेलिन के एक संस्करण के लिए था जिसने मूल संस्करण के एन्क्रिप्शन रूटीन में कई कमजोरियों को ठीक किया था। उन कमजोरियों ने साइबर सुरक्षा फर्म Unit221B के शोधकर्ताओं को ज़ेपेलिन की एन्क्रिप्शन कुंजियों को क्रैक करने और लगभग दो वर्षों तक पीड़ित संगठनों को लॉक किए गए डेटा को डिक्रिप्ट करने में चुपचाप मदद करने की अनुमति दी थी। Unit22B की खबर के बाद ज़ेपेलिन-संबंधित RaaS गतिविधि में गिरावट आई गुप्त डिक्रिप्शन उपकरण नवंबर 2022 में सार्वजनिक हुआ।

किविलेविच का कहना है कि आरईटी ने बिक्री के लिए जिस कोड की पेशकश की थी, उस पर एकमात्र जानकारी स्रोत कोड का स्क्रीनशॉट थी। वह कहती हैं, केवल उस जानकारी के आधार पर, KELA के लिए यह आकलन करना कठिन है कि कोड वास्तविक है या नहीं। हालाँकि, धमकी देने वाला आरईटी अलग-अलग हैंडल का उपयोग करके कम से कम दो अन्य साइबर अपराध मंचों पर सक्रिय रहा है और ऐसा प्रतीत होता है कि उनमें से एक पर किसी प्रकार की विश्वसनीयता स्थापित की गई है।

"उनमें से एक पर, उनकी अच्छी प्रतिष्ठा है, और तीन ने फोरम बिचौलिए सेवा के माध्यम से सफल सौदों की पुष्टि की है, जो अभिनेता में कुछ विश्वसनीयता जोड़ता है," किविलेविच कहते हैं।

“KELA ने अपने एक उत्पाद की खरीदार से तटस्थ समीक्षा भी देखी है, जो एक एंटीवायरस बाईपास समाधान प्रतीत होता है। समीक्षा में कहा गया है कि यह विंडोज डिफेंडर के समान एंटीवायरस को बेअसर करने में सक्षम है, लेकिन यह 'गंभीर' एंटीवायरस पर काम नहीं करेगा," वह आगे कहती हैं।

एक बार प्रबल ख़तरा दुर्घटनाग्रस्त और जल गया

ज़ेपेलिन एक रैंसमवेयर है जिसका उपयोग धमकी देने वाले अभिनेताओं ने कम से कम 2019 में अमेरिकी लक्ष्यों पर कई हमलों में किया है। मैलवेयर वेगालॉकर का व्युत्पन्न है, जो डेल्फ़ी प्रोग्रामिंग भाषा में लिखा गया एक रैंसमवेयर है। अगस्त 2022 में, यूएस साइबर सिक्योरिटी एंड इंफ्रास्ट्रक्चर सिक्योरिटी एजेंसी (सीआईएसए) और एफबीआई ने रणनीति, तकनीकों और प्रक्रियाओं (टीटीपी) पर समझौते के संकेतक और विवरण जारी किए, जिनका उपयोग ज़ेपेलिन अभिनेता मैलवेयर वितरित करने और सिस्टम को संक्रमित करने के लिए कर रहे थे।

उस समय, सीआईएसए ने मैलवेयर को रक्षा ठेकेदारों, निर्माताओं, शैक्षिक संस्थानों, प्रौद्योगिकी कंपनियों और विशेष रूप से चिकित्सा और स्वास्थ्य देखभाल उद्योगों में संगठनों सहित अमेरिकी लक्ष्यों पर कई हमलों में इस्तेमाल होने के रूप में वर्णित किया था। ज़ेपेलिन से जुड़े हमलों में शुरुआती फिरौती की माँग कुछ हज़ार डॉलर से लेकर कुछ मामलों में दस लाख डॉलर तक थी।

किविलेविच का कहना है कि यह संभावना है कि ज़ेपेलिन स्रोत कोड का खरीदार वही करेगा जो दूसरों ने किया है जब उन्होंने मैलवेयर कोड हासिल कर लिया है।

"अतीत में, हमने अलग-अलग अभिनेताओं को अपने संचालन में अन्य प्रकारों के स्रोत कोड का पुन: उपयोग करते देखा है, इसलिए यह संभव है कि खरीदार उसी तरह कोड का उपयोग करेगा," वह कहती हैं। “उदाहरण के लिए, लीक हुआ लॉकबिट 3.0 बिल्डर को Bl00dy द्वारा अपनाया गया था, LockBit स्वयं उपयोग कर रहे थे कोंटी स्रोत कोड लीक हो गया और कोड उन्होंने ब्लैकमैटर से खरीदा, और हाल के उदाहरणों में से एक हंटर्स इंटरनेशनल है जिसने हाइव स्रोत कोड खरीदने का दावा किया है।

किविलेविच का कहना है कि यह बहुत स्पष्ट नहीं है कि धमकी देने वाले अभिनेता आरईटी ने ज़ेपेलिन के स्रोत कोड और बिल्डर को केवल $500 में क्यों बेचा होगा। वह कहती हैं, ''यह बताना मुश्किल है।'' "संभवतः उसने नहीं सोचा था कि यह अधिक कीमत के लिए पर्याप्त परिष्कृत है - यह देखते हुए कि वह बिल्डर को क्रैक करने के बाद स्रोत कोड प्राप्त करने में कामयाब रहा। लेकिन हम यहां अटकलें नहीं लगाना चाहते।

समय टिकट:

से अधिक डार्क रीडिंग