שחקן איום מכר תמורת 500 דולר בלבד את קוד המקור ובונה סדוק עבור זפלין, זן תוכנת כופר רוסי ששימש בעבר בהתקפות רבות על עסקים וארגונים אמריקאים במגזרי תשתית קריטיים.
המכירה עשויה לאותת על תחייתה של תוכנת כופר כשירות (RaaS) הכוללת את זפלין, בתקופה שבה רבים מחקו את התוכנה הזדונית כלא פעילה ברובה ולא פעילה.
מכירת אש בפורום פשע RAMP
חוקרים בחברת אבטחת הסייבר הישראלית KELA הבחינו בסוף דצמבר בשחקן איום באמצעות הידית "RET" שמציעה למכירה את קוד המקור והבונה של Zeppelin2 ב-RAMP, פורום פשעי סייבר רוסי, שבין היתר אירח בעבר את אתר ההדלפות של תוכנת הכופר של Babuk. כמה ימים לאחר מכן, ב-31 בדצמבר, טען שחקן האיום שמכר את התוכנה הזדונית לחבר בפורום RAMP.
ויקטוריה קיבילביץ', מנהל מחקר האיומים ב-KELA, אומר שלא ברור כיצד, או מאיפה, יכול היה שחקן האיומים להשיג את הקוד והבונה של זפלין. "המוכר ציין שהם 'נתקלו' בבונה ופיצחו אותו כדי לחלץ את קוד המקור שנכתב בדלפי", אומר קיבילביץ'. RET הבהירה שהם לא הכותבים של התוכנה הזדונית, היא מוסיפה.
נראה שהקוד שהיה במכירה היה עבור גרסה של זפלין שתיקנה חולשות מרובות בשגרת ההצפנה של הגרסה המקורית. החולשות הללו אפשרו לחוקרים מחברת אבטחת הסייבר Unit221B לפצח את מפתחות ההצפנה של זפלין ובמשך כמעט שנתיים לעזור בשקט לארגוני קורבנות לפענח נתונים נעולים. פעילות RaaS הקשורה לצפלין ירדה לאחר החדשות של Unit22B כלי פענוח סודי התפרסם בנובמבר 2022.
קיבילביץ' אומר שהמידע היחיד על הקוד ש-RET הציעה למכירה היה צילום מסך של קוד המקור. בהתבסס על המידע הזה בלבד, קשה ל-KELA להעריך אם הקוד אמיתי או לא, היא אומרת. עם זאת, שחקן האיומים RET היה פעיל לפחות בשני פורומים אחרים של פשעי סייבר תוך שימוש בשיטות שונות ונראה כי ביסס איזושהי אמינות באחד מהם.
"באחד מהם, יש לו מוניטין טוב, ושלוש עסקאות מוצלחות מאושרות דרך שירות המתווך בפורום, מה שמוסיף קצת אמינות לשחקן", אומר קיבילביץ'.
"KELA ראתה גם ביקורת ניטרלית של קונה של אחד מהמוצרים שלו, שנראה כפתרון מעקף אנטי וירוס. הסקירה אמרה שהוא מסוגל לנטרל אנטי וירוס דומה ל-Windows Defender, אבל זה לא יעבוד על אנטי וירוס 'רציני'", היא מוסיפה.
איום שהיה עוצמתי פעם מתרסק ונשרף
זפלין היא תוכנת כופר ששחקני איומים השתמשו בה בהתקפות מרובות על מטרות אמריקאיות החל משנת 2019 לפחות. התוכנה הזדונית היא נגזרת של VegaLocker, תוכנת כופר שנכתבה בשפת התכנות דלפי. באוגוסט 2022, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) וה-FBI פרסמו אינדיקטורים של פשרה ופרטים על הטקטיקות, הטכניקות והנהלים (TTPs) שבהם השתמשו שחקני זפלין כדי להפיץ את התוכנה הזדונית ולהדביק מערכות.
בזמנו, CISA תיארה את התוכנה הזדונית כמשמשת במספר התקפות על מטרות בארה"ב כולל קבלני ביטחון, יצרנים, מוסדות חינוך, חברות טכנולוגיה, ובעיקר ארגונים בתעשיות הרפואה והבריאות. דרישות הכופר הראשוניות בהתקפות בהן היה מעורב צפלין נעו בין כמה אלפי דולרים ליותר ממיליון דולר במקרים מסוימים.
קיבילביץ' אומר שסביר שהרוכש של קוד המקור של זפלין יעשה מה שיש לאחרים כאשר הם רכשו קוד תוכנה זדונית.
"בעבר ראינו שחקנים שונים שעושים שימוש חוזר בקוד המקור של זנים אחרים בפעילותם, כך שייתכן שהקונה ישתמש בקוד באותו אופן", היא אומרת. "למשל, הדלפה LockBit 3.0 builder אומץ על ידי Bl00dy, LockBit עצמם השתמשו קוד מקור Conti דלף וקוד שהם רכשו מ-BlackMatter, ואחת הדוגמאות האחרונות היא Hunters International שטענה שרכשה את קוד המקור של Hive".
קיבילביץ' אומר שלא ממש ברור מדוע שחקן האיום RET מכר את קוד המקור והבונה של זפלין תמורת 500 דולר בלבד. "קשה לדעת," היא אומרת. "ייתכן שהוא לא חשב שזה מספיק מתוחכם במחיר גבוה יותר - בהתחשב בכך שהוא הצליח להשיג את קוד המקור לאחר שפיצח את ה-Builder. אבל אנחנו לא רוצים להעלות השערות כאן".
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :יש ל
- :הוא
- :לֹא
- :איפה
- 2019
- 2022
- 31
- a
- יכול
- נרכש
- לרוחב
- פעיל
- פעילות
- שחקנים
- מוסיף
- מאומץ
- לאחר
- סוכנות
- מותר
- לבד
- גם
- בין
- an
- ו
- תשתיות
- אנטי וירוס
- מופיע
- ARE
- AS
- לְהַעֲרִיך
- At
- המתקפות
- אוגוסט
- מחבר
- בחזרה
- מבוסס
- BE
- הפך
- היה
- להיות
- בונה
- עסקים
- אבל
- קוֹנֶה..
- by
- לעקוף
- הגיע
- CISA
- נתבע
- ברור
- קוד
- חברות
- פשרה
- מְאוּשָׁר
- בהתחשב
- קונטי
- קבלנים
- תוקן
- יכול
- זוג
- סדק
- סדוק
- פיצוח
- אמינות
- פשע
- קריטי
- תשתית קריטית
- פשעי אינטרנט
- אבטחת סייבר
- סוכנות אבטחת סייבר ותשתיות
- כהה
- אינטרנט אפל
- נתונים
- ימים
- דילים
- דצמבר
- דֵצֶמבֶּר
- פענוח
- גופי בטחון
- מנותקת
- דלפי
- דרישות
- נגזר
- מְתוּאָר
- פרטים
- לא
- אחר
- לְהָפִיץ
- do
- דולר
- דון
- חינוך
- הצף
- מספיק
- במיוחד
- נוסד
- Ether (ETH)
- דוגמה
- דוגמאות
- FBI
- ה-fbi שוחרר
- משתתפים
- מעטים
- פירמה
- בעד
- פוֹרוּם
- פורומים
- החל מ-
- אמיתי
- לקבל
- הולך
- טוב
- היה
- לטפל
- מטפל
- קשה
- יש
- he
- בריאות
- לעזור
- כאן
- גבוה יותר
- שֶׁלוֹ
- כוורת
- אירח
- איך
- אולם
- HTTPS
- if
- in
- כולל
- אינדיקטורים
- תעשיות
- מידע
- תשתית
- בתחילה
- מקרים
- מוסדות
- ברמה בינלאומית
- מעורב
- יִשׂרְאֵלִי
- IT
- jpg
- רק
- מפתחות
- שפה
- במידה רבה
- מְאוּחָר
- מאוחר יותר
- לדלוף
- הכי פחות
- סביר
- נעול
- עשוי
- תוכנות זדוניות
- הצליח
- התעשיינים
- רב
- רפואי
- חבר
- יכול
- מִילִיוֹן
- מיליון דולר
- מספר
- כמעט
- נטרל
- חדשות
- נוֹבֶמבֶּר
- רב
- מושג
- of
- כבוי
- מוצע
- הצעה
- on
- פעם
- ONE
- רק
- תפעול
- or
- ארגונים
- מְקוֹרִי
- אחר
- אחרים
- יותר
- עבר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- אפשרי
- יִתָכֵן
- מחיר
- נהלים
- מוצרים
- תכנות
- ציבורי
- נרכש
- קוֹנֶה
- בשקט
- רמפה
- כופר
- ransomware
- לאחרונה
- שוחרר
- מוניטין
- מחקר
- חוקרים
- סקירה
- רוסי
- s
- אמר
- SALE
- אותו
- אומר
- מגזרים
- אבטחה
- נראה
- לראות
- מוכר
- רציני
- שרות
- כמה
- היא
- לאותת
- דומה
- אתר
- So
- נמכרים
- פִּתָרוֹן
- כמה
- מתוחכם
- מָקוֹר
- קוד מקור
- מפורט
- זנים
- מוצלח
- מערכות
- T
- טקטיקה
- מטרות
- טכניקות
- טכנולוגיה
- חברות טכנולוגיה
- לספר
- זֶה
- השמיים
- המקור
- שֶׁלָהֶם
- אותם
- עצמם
- הֵם
- דברים
- לחשוב
- אלה
- אלף
- איום
- איום שחקנים
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- שתיים
- לא ברור
- us
- להשתמש
- מְשׁוּמָשׁ
- באמצעות
- Ve
- גרסה
- מאוד
- קרבן
- רוצה
- היה
- דֶרֶך..
- we
- אינטרנט
- היו
- מה
- מתי
- אשר
- מי
- למה
- יצטרך
- חלונות
- נצחנות
- תיק עבודות
- כתוב
- שנים
- זפירנט
- צֶפֶּלִין