A Zeppelin Ransomware Source Code & Builder 500 dollárért eladó a Dark Weben

Egy fenyegetés szereplője mindössze 500 dollárért eladta a Zeppelin, egy orosz zsarolóvírus-törzs forráskódját és feltört fejlesztőjét, amelyet a múltban számos támadásban használtak amerikai vállalkozások és szervezetek ellen a kritikus infrastruktúra szektorokban.

Az eladás jelezheti a Zeppelint tartalmazó ransomware-as-a-service (RaaS) újjáéledését egy olyan időszakban, amikor sokan a rosszindulatú programokat nagyrészt nem működőként és megszűntként írták le.

Tűzkiárusítás a RAMP Crime Forumon

A KELA izraeli kiberbiztonsági cég kutatói december végén észleltek egy fenyegetés szereplőt, aki a „RET” fogantyút használva eladásra kínálta a Zeppelin2 forráskódját és építőjét a RAMP-on, egy orosz kiberbűnözési fórumon, amely többek között egykor a Babuk ransomware kiszivárogtatási oldalának adott otthont. Néhány nappal később, december 31-én a fenyegetőző azt állította, hogy eladta a kártevőt egy RAMP fórumtagnak.

Kivilevich Viktória, A KELA fenyegetéskutatási igazgatója szerint nem világos, hogy a fenyegetés szereplője hogyan és honnan szerezhette be a Zeppelin kódját és építőjét. „Az eladó pontosította, hogy „rábukkantak” az építőre, és feltörték, hogy kiszűrjék a Delphiben írt forráskódot” – mondja Kivilevich. A RET egyértelművé tette, hogy nem ők a rosszindulatú program szerzője – teszi hozzá.

Úgy tűnik, hogy az eladó kód a Zeppelin egy olyan verziójához készült, amely kijavította az eredeti verzió titkosítási rutinjainak több hiányosságát. Ezek a hiányosságok lehetővé tették a Unit221B kiberbiztonsági cég kutatói számára, hogy feltörjék a Zeppelin titkosítási kulcsait, és közel két éven keresztül csendben segítsenek az áldozatszervezeteknek a zárolt adatok visszafejtésében. A Zeppelinhez kapcsolódó RaaS aktivitás csökkent az Unit22B hírére titkos visszafejtő eszköz 2022 novemberében került nyilvánosságra.

Kivilevich szerint a RET által eladásra kínált kódról az egyetlen információ a forráskód képernyőképe volt. Csak ezen információk alapján a KELA nehezen tudja felmérni, hogy a kód valódi-e vagy sem – mondja. A fenyegetések szereplője, a RET azonban legalább két másik kiberbűnözési fórumon is aktívan részt vett, különböző fogantyúkkal, és úgy tűnik, hogy az egyikben valamilyen hitelességet szerzett.

„Az egyiken jó hírnévvel rendelkezik, és három sikeres üzletet igazolt a fórumközvetítői szolgáltatáson keresztül, ami némi hitelességet ad a színésznek” – mondja Kivilevich.

„A KELA semleges véleményt is kapott az egyik termékének vásárlójától, amely úgy tűnik, hogy egy antivírus bypass megoldás. A felülvizsgálat szerint képes semlegesíteni a Windows Defenderhez hasonló vírusirtót, de nem működik „komoly” vírusirtó esetén” – teszi hozzá.

Egykor erős fenyegetés Összeomlások és égési sérülések

A Zeppelin egy zsarolóprogram, amelyet a fenyegetés szereplői több, amerikai célpontok elleni támadásban használtak, legalább 2019-ig visszamenőleg. A rosszindulatú program a VegaLocker, a Delphi programozási nyelven írt zsarolóprogram származéka. 2022 augusztusában az Egyesült Államok Kiberbiztonsági és Infrastruktúra-biztonsági Ügynöksége (CISA) és az FBI közzétette a kompromisszumra utaló indikátorokat, valamint a Zeppelin szereplői által a rosszindulatú programok terjesztésére és a rendszerek megfertőzésére használt taktikákra, technikákra és eljárásokra (TTP-k) vonatkozó részleteket.

Akkoriban a CISA úgy jellemezte, hogy a malware-t számos amerikai célpont elleni támadásban használták, beleértve a védelmi vállalkozókat, gyártókat, oktatási intézményeket, technológiai vállalatokat, és különösen az orvosi és egészségügyi ipar szervezeteit. A Zeppelint érintő támadások kezdeti váltságdíj-követelései néhány ezer dollártól egyes esetekben több mint egymillió dollárig terjedtek.

Kivilevich szerint valószínű, hogy a Zeppelin forráskód vásárlója azt fogja tenni, amit mások, amikor rosszindulatú programkódot szereztek.

„Korábban azt láttuk, hogy különböző szereplők más törzsek forráskódját használták fel újra működésük során, így lehetséges, hogy a vevő ugyanúgy fogja használni a kódot” – mondja. „Például a kiszivárgott LockBit 3.0 buildert a Bl00dy vette át, a LockBit maga is használta kiszivárgott Conti forráskód és a BlackMattertől vásárolt kódot, és az egyik legutóbbi példa a Hunters International, aki azt állította, hogy megvásárolta a Hive forráskódot.

Kivilevich szerint nem egészen világos, miért adhatta el a fenyegetőző, RET a Zeppelin forráskódját és építőjét mindössze 500 dollárért. – Nehéz megmondani – mondja. „Valószínűleg nem tartotta elég kifinomultnak a magasabb árért – tekintve, hogy az építő feltörése után sikerült megszereznie a forráskódot. De nem akarunk itt találgatni.”

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web