En trusselaktør har solgt kildekoden for bare 500 dollar og en sprukket byggherre for Zeppelin, en russisk løsepengevare som tidligere ble brukt i en rekke angrep på amerikanske bedrifter og organisasjoner i kritiske infrastruktursektorer.
Salget kan signalisere gjenopplivingen av en ransomware-as-a-service (RaaS) med Zeppelin, på et tidspunkt da mange hadde avskrevet skadevaren som stort sett ikke-operativ og nedlagt.
Brannsalg på RAMP Crime Forum
Forskere ved det israelske nettsikkerhetsfirmaet KELA oppdaget i slutten av desember en trusselaktør som brukte håndtaket «RET» som tilbød kildekoden og byggherren for Zeppelin2 for salg på RAMP, et russisk nettkriminalitetsforum som blant annet en gang var vert for Babuk-ransomwares lekkasjeside. Et par dager senere, den 31. desember, hevdet trusselaktøren å ha solgt skadevaren til et medlem av RAMP-forumet.
Victoria Kivilevich, direktør for trusselforskning ved KELA, sier det er uklart hvordan, eller hvorfra, trusselaktøren kan ha fått tak i koden og byggherren til Zeppelin. "Selgeren har spesifisert at de 'kom over' byggherren og knakk den for å eksfiltrere kildekoden skrevet i Delphi," sier Kivilevich. RET har gjort det klart at de ikke er forfatteren av skadevaren, legger hun til.
Koden som var på salg ser ut til å ha vært for en versjon av Zeppelin som korrigerte flere svakheter i den originale versjonens krypteringsrutiner. Disse svakhetene hadde tillatt forskere fra cybersikkerhetsfirmaet Unit221B å knekke Zeppelins krypteringsnøkler og i nesten to år i det stille hjelpe offerorganisasjoner med å dekryptere låste data. Zeppelin-relatert RaaS-aktivitet falt etter nyheter om Unit22B hemmelig dekrypteringsverktøy ble offentlig i november 2022.
Kivilevich sier at den eneste informasjonen om koden som RET tilbød for salg var et skjermbilde av kildekoden. Basert på den informasjonen alene er det vanskelig for KELA å vurdere om koden er ekte eller ikke, sier hun. Trusselaktøren RET har imidlertid vært aktiv på minst to andre nettkriminalitetsfora ved å bruke forskjellige håndtak og ser ut til å ha etablert en slags troverdighet på ett av dem.
"På en av dem har han et godt rykte, og tre bekreftede vellykkede avtaler gjennom forummellomtjenesten, noe som gir en viss troverdighet til skuespilleren," sier Kivilevich.
«KELA har også sett en nøytral anmeldelse fra en kjøper av et av produktene hans, som ser ut til å være en antivirus-bypass-løsning. Anmeldelsen sa at den er i stand til å nøytralisere et antivirus som ligner på Windows Defender, men det vil ikke fungere på ‘seriøst’ antivirus», legger hun til.
En gang så kraftig trussel krasjer og brenner seg
Zeppelin er løsepengeprogramvare som trusselaktører har brukt i flere angrep på amerikanske mål som går tilbake til minst 2019. Skadevaren er et derivat av VegaLocker, en løsepengevare skrevet i programmeringsspråket Delphi. I august 2022 ga US Cybersecurity and Infrastructure Security Agency (CISA) og FBI ut indikatorer for kompromiss og detaljer om taktikken, teknikkene og prosedyrene (TTP-er) som Zeppelin-aktører brukte for å distribuere skadelig programvare og infisere systemer.
På den tiden beskrev CISA skadevaren som brukt i flere angrep på amerikanske mål, inkludert forsvarsentreprenører, produsenter, utdanningsinstitusjoner, teknologiselskaper og spesielt organisasjoner innen medisinsk og helsevesen. De første løsepengekravene i angrep som involverte Zeppelin varierte fra noen få tusen dollar til over én million dollar i noen tilfeller.
Kivilevich sier at det er sannsynlig at kjøperen av Zeppelin-kildekoden vil gjøre det andre har når de har skaffet seg skadevarekode.
"Tidligere har vi sett forskjellige aktører gjenbruke kildekoden til andre stammer i sin virksomhet, så det er mulig at kjøperen vil bruke koden på samme måte," sier hun. "For eksempel lekket LockBit 3.0 builder ble adoptert av Bl00dy, LockBit selv brukte lekket Conti-kildekode og kode de kjøpte fra BlackMatter, og et av de siste eksemplene er Hunters International som hevdet å ha kjøpt Hive-kildekoden.»
Kivilevich sier at det ikke er veldig klart hvorfor trusselskuespilleren RET kan ha solgt Zeppelins kildekode og byggherre for bare $500. Vanskelig å si, sier hun. "Muligens trodde han ikke det var sofistikert nok for en høyere pris - med tanke på at han klarte å få tak i kildekoden etter å ha knekket byggherren. Men vi ønsker ikke å spekulere her."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- : har
- :er
- :ikke
- :hvor
- 2019
- 2022
- 31
- a
- I stand
- ervervet
- tvers
- aktiv
- aktivitet
- aktører
- Legger
- vedtatt
- Etter
- byrå
- tillatt
- alene
- også
- blant
- an
- og
- og infrastruktur
- antivirus
- vises
- ER
- AS
- vurdere
- At
- Angrep
- August
- forfatter
- tilbake
- basert
- BE
- ble
- vært
- være
- bygger
- bedrifter
- men
- KJØPER..
- by
- bypass
- kom
- CISA
- hevdet
- fjerne
- kode
- Selskaper
- kompromiss
- BEKREFTET
- vurderer
- Conti
- entreprenører
- Korrigert
- kunne
- Par
- crack
- sprukket
- cracking
- Troverdighet
- Crime
- kritisk
- Kritisk infrastruktur
- cybercrime
- Cybersecurity
- Cybersecurity and Infrastructure Security Agency
- mørk
- mørk Web
- dato
- Dager
- Tilbud
- desember
- Desember
- dekryptere
- Forsvar
- nedlagt
- Delphi
- krav
- derivat
- beskrevet
- detaljer
- gjorde ikke
- forskjellig
- distribuere
- do
- dollar
- Don
- pedagogisk
- kryptering
- nok
- spesielt
- etablert
- Eter (ETH)
- eksempel
- eksempler
- FBI
- fbi utgitt
- Featuring
- Noen få
- Firm
- Til
- Forum
- fora
- fra
- ekte
- få
- skal
- god
- HAD
- håndtere
- Håndterer
- Hard
- Ha
- he
- helsetjenester
- hjelpe
- her.
- høyere
- hans
- Hive
- vert
- Hvordan
- Men
- HTTPS
- if
- in
- Inkludert
- indikatorer
- bransjer
- informasjon
- Infrastruktur
- innledende
- forekomster
- institusjoner
- internasjonalt
- involverer
- israelsk
- IT
- jpg
- bare
- nøkler
- Språk
- i stor grad
- Late
- seinere
- lekke
- minst
- Sannsynlig
- låst
- laget
- malware
- fikk til
- Produsenter
- mange
- medisinsk
- medlem
- kunne
- millioner
- millioner dollar
- flere
- nesten
- Nøytral
- nyheter
- November
- mange
- innhentet
- of
- off
- tilbudt
- tilby
- on
- gang
- ONE
- bare
- Drift
- or
- organisasjoner
- original
- Annen
- andre
- enn
- Past
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- muligens
- pris
- prosedyrer
- Produkter
- Programmering
- offentlig
- kjøpt
- kjøperen
- stille
- Rampe
- Ransom
- ransomware
- nylig
- utgitt
- omdømme
- forskning
- forskere
- anmeldelse
- russisk
- s
- Sa
- salg
- samme
- sier
- sektorer
- sikkerhet
- synes
- sett
- Sells
- alvorlig
- tjeneste
- flere
- hun
- Signal
- lignende
- nettstedet
- So
- solgt
- løsning
- noen
- sofistikert
- kilde
- kildekoden
- spesifisert
- stammer
- vellykket
- Systemer
- T
- taktikk
- mål
- teknikker
- Teknologi
- teknologiselskaper
- fortelle
- Det
- De
- Kilden
- deres
- Dem
- seg
- de
- ting
- tror
- De
- tusen
- trussel
- trusselaktører
- tre
- Gjennom
- tid
- til
- to
- uklar
- us
- bruke
- brukt
- ved hjelp av
- Ve
- versjon
- veldig
- Offer
- ønsker
- var
- Vei..
- we
- web
- var
- Hva
- når
- hvilken
- HVEM
- hvorfor
- vil
- vinduer
- Vant
- Arbeid
- skrevet
- år
- zephyrnet
- Zeppelin
