Zeppelin Ransomware Code & Builder נמכר ב-$500 ב-Dark Web

שחקן איום מכר תמורת 500 דולר בלבד את קוד המקור ובונה סדוק עבור זפלין, זן תוכנת כופר רוסי ששימש בעבר בהתקפות רבות על עסקים וארגונים אמריקאים במגזרי תשתית קריטיים.

המכירה עשויה לאותת על תחייתה של תוכנת כופר כשירות (RaaS) הכוללת את זפלין, בתקופה שבה רבים מחקו את התוכנה הזדונית כלא פעילה ברובה ולא פעילה.

מכירת אש בפורום פשע RAMP

חוקרים בחברת אבטחת הסייבר הישראלית KELA הבחינו בסוף דצמבר בשחקן איום באמצעות הידית "RET" שמציעה למכירה את קוד המקור והבונה של Zeppelin2 ב-RAMP, פורום פשעי סייבר רוסי, שבין היתר אירח בעבר את אתר ההדלפות של תוכנת הכופר של Babuk. כמה ימים לאחר מכן, ב-31 בדצמבר, טען שחקן האיום שמכר את התוכנה הזדונית לחבר בפורום RAMP.

ויקטוריה קיבילביץ', מנהל מחקר האיומים ב-KELA, אומר שלא ברור כיצד, או מאיפה, יכול היה שחקן האיומים להשיג את הקוד והבונה של זפלין. "המוכר ציין שהם 'נתקלו' בבונה ופיצחו אותו כדי לחלץ את קוד המקור שנכתב בדלפי", אומר קיבילביץ'. RET הבהירה שהם לא הכותבים של התוכנה הזדונית, היא מוסיפה.

נראה שהקוד שהיה במכירה היה עבור גרסה של זפלין שתיקנה חולשות מרובות בשגרת ההצפנה של הגרסה המקורית. החולשות הללו אפשרו לחוקרים מחברת אבטחת הסייבר Unit221B לפצח את מפתחות ההצפנה של זפלין ובמשך כמעט שנתיים לעזור בשקט לארגוני קורבנות לפענח נתונים נעולים. פעילות RaaS הקשורה לצפלין ירדה לאחר החדשות של Unit22B כלי פענוח סודי התפרסם בנובמבר 2022.

קיבילביץ' אומר שהמידע היחיד על הקוד ש-RET הציעה למכירה היה צילום מסך של קוד המקור. בהתבסס על המידע הזה בלבד, קשה ל-KELA להעריך אם הקוד אמיתי או לא, היא אומרת. עם זאת, שחקן האיומים RET היה פעיל לפחות בשני פורומים אחרים של פשעי סייבר תוך שימוש בשיטות שונות ונראה כי ביסס איזושהי אמינות באחד מהם.

"באחד מהם, יש לו מוניטין טוב, ושלוש עסקאות מוצלחות מאושרות דרך שירות המתווך בפורום, מה שמוסיף קצת אמינות לשחקן", אומר קיבילביץ'.

"KELA ראתה גם ביקורת ניטרלית של קונה של אחד מהמוצרים שלו, שנראה כפתרון מעקף אנטי וירוס. הסקירה אמרה שהוא מסוגל לנטרל אנטי וירוס דומה ל-Windows Defender, אבל זה לא יעבוד על אנטי וירוס 'רציני'", היא מוסיפה.

איום שהיה עוצמתי פעם מתרסק ונשרף

זפלין היא תוכנת כופר ששחקני איומים השתמשו בה בהתקפות מרובות על מטרות אמריקאיות החל משנת 2019 לפחות. התוכנה הזדונית היא נגזרת של VegaLocker, תוכנת כופר שנכתבה בשפת התכנות דלפי. באוגוסט 2022, הסוכנות האמריקאית לאבטחת סייבר ותשתיות (CISA) וה-FBI פרסמו אינדיקטורים של פשרה ופרטים על הטקטיקות, הטכניקות והנהלים (TTPs) שבהם השתמשו שחקני זפלין כדי להפיץ את התוכנה הזדונית ולהדביק מערכות.

בזמנו, CISA תיארה את התוכנה הזדונית כמשמשת במספר התקפות על מטרות בארה"ב כולל קבלני ביטחון, יצרנים, מוסדות חינוך, חברות טכנולוגיה, ובעיקר ארגונים בתעשיות הרפואה והבריאות. דרישות הכופר הראשוניות בהתקפות בהן היה מעורב צפלין נעו בין כמה אלפי דולרים ליותר ממיליון דולר במקרים מסוימים.

קיבילביץ' אומר שסביר שהרוכש של קוד המקור של זפלין יעשה מה שיש לאחרים כאשר הם רכשו קוד תוכנה זדונית.

"בעבר ראינו שחקנים שונים שעושים שימוש חוזר בקוד המקור של זנים אחרים בפעילותם, כך שייתכן שהקונה ישתמש בקוד באותו אופן", היא אומרת. "למשל, הדלפה LockBit 3.0 builder אומץ על ידי Bl00dy, LockBit עצמם השתמשו קוד מקור Conti דלף וקוד שהם רכשו מ-BlackMatter, ואחת הדוגמאות האחרונות היא Hunters International שטענה שרכשה את קוד המקור של Hive".

קיבילביץ' אומר שלא ממש ברור מדוע שחקן האיום RET מכר את קוד המקור והבונה של זפלין תמורת 500 דולר בלבד. "קשה לדעת," היא אומרת. "ייתכן שהוא לא חשב שזה מספיק מתוחכם במחיר גבוה יותר - בהתחשב בכך שהוא הצליח להשיג את קוד המקור לאחר שפיצח את ה-Builder. אבל אנחנו לא רוצים להעלות השערות כאן".

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web