Kod źródłowy i kreator oprogramowania ransomware Zeppelin są sprzedawane za 500 dolarów w Dark Web

Osoba zagrażająca sprzedała za jedyne 500 dolarów kod źródłowy i narzędzie do tworzenia cracków dla Zeppelin, rosyjskiej odmiany oprogramowania ransomware wykorzystywanej w przeszłości w licznych atakach na amerykańskie firmy i organizacje w sektorach infrastruktury krytycznej.

Sprzedaż może sygnalizować wznowienie oprogramowania ransomware jako usługi (RaaS) obejmującego Zeppelina w czasie, gdy wielu skreśliło to szkodliwe oprogramowanie jako w dużej mierze nieoperacyjne i nieistniejące.

Wyprzedaż na RAMP Crime Forum

Badacze z izraelskiej firmy KELA zajmującej się bezpieczeństwem cybernetycznym zauważyli pod koniec grudnia ugrupowanie zagrażające używające pseudonimu „RET”, oferujące kod źródłowy i narzędzie do tworzenia Zeppelin2 do sprzedaży na RAMP, rosyjskim forum poświęconym cyberprzestępczości, które kiedyś gościło między innymi witrynę wycieków ransomware Babuk. Kilka dni później, 31 grudnia, ugrupowanie zagrażające oświadczyło, że sprzedało szkodliwe oprogramowanie członkowi forum RAMP.

Wiktoria Kivilewicz, dyrektor ds. badań nad zagrożeniami w firmie KELA twierdzi, że nie jest jasne, w jaki sposób ani skąd osoba zagrażająca mogła zdobyć kod i narzędzie do tworzenia Zeppelina. „Sprzedawca oświadczył, że „natknął się” na narzędzie do tworzenia oprogramowania i złamał go, aby wydobyć kod źródłowy napisany w Delphi” – mówi Kivilevich. RET wyjaśniło, że nie jest autorem szkodliwego oprogramowania – dodaje.

Wygląda na to, że sprzedawany kod dotyczył wersji Zeppelina, która naprawiała wiele słabych punktów w procedurach szyfrowania oryginalnej wersji. Te słabości pozwoliły badaczom z firmy Unit221B zajmującej się bezpieczeństwem cybernetycznym złamać klucze szyfrujące Zeppelina i przez prawie dwa lata po cichu pomagać organizacjom ofiar w odszyfrowywaniu zablokowanych danych. Aktywność RaaS związana z Zeppelinem spadła po wiadomościach o Unit22B tajne narzędzie do odszyfrowywania upublicznione w listopadzie 2022 r.

Kivilevich twierdzi, że jedyną informacją o kodzie, którą RET oferował do sprzedaży, był zrzut ekranu kodu źródłowego. Na podstawie samych tych informacji KELA ma trudności z oceną, czy kod jest autentyczny, czy nie – mówi. Jednakże ugrupowanie zagrażające RET było aktywne na co najmniej dwóch innych forach poświęconych cyberprzestępczości, używając różnych pseudonimów i wydaje się, że na jednym z nich uzyskał pewną wiarygodność.

„W przypadku jednego z nich cieszy się dobrą opinią, a trzy potwierdzone pomyślnie transakcje za pośrednictwem forumowego pośrednika, co dodaje aktorowi pewnej wiarygodności” – mówi Kivilevich.

„KELA spotkała się także z neutralną recenzją kupującego jeden ze swoich produktów, który wydaje się być rozwiązaniem pozwalającym obejść program antywirusowy. W recenzji stwierdzono, że jest w stanie zneutralizować program antywirusowy podobny do Windows Defender, ale nie będzie działać w przypadku „poważnych” programów antywirusowych” – dodaje.

Niegdyś potężne zagrożenie ulega awarii i pożarom

Zeppelin to oprogramowanie ransomware, które ugrupowania zagrażające wykorzystywały w wielu atakach na cele w USA co najmniej od 2019 r. Szkodliwe oprogramowanie jest pochodną VegaLocker, oprogramowania ransomware napisanego w języku programowania Delphi. W sierpniu 2022 r. amerykańska Agencja ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) oraz FBI opublikowały wskaźniki kompromisu oraz szczegółowe informacje na temat taktyk, technik i procedur (TTP), których używali aktorzy Zeppelina do dystrybucji złośliwego oprogramowania i infekowania systemów.

W tamtym czasie CISA opisała to złośliwe oprogramowanie jako wykorzystywane w kilku atakach na cele w USA, w tym wykonawców z branży obronnej, producentów, instytucje edukacyjne, firmy technologiczne, a zwłaszcza organizacje z branży medycznej i opieki zdrowotnej. Początkowe żądania okupu w atakach z udziałem Zeppelina wahały się w niektórych przypadkach od kilku tysięcy dolarów do ponad miliona dolarów.

Kivilevich twierdzi, że prawdopodobne jest, że nabywca kodu źródłowego Zeppelina zrobi to samo, co inni, gdy zdobędą kod złośliwego oprogramowania.

„W przeszłości widzieliśmy, jak różne podmioty ponownie wykorzystywały kod źródłowy innych odmian w swoich operacjach, więc możliwe jest, że kupujący użyje kodu w ten sam sposób” – mówi. „Na przykład wyciek LockBit 3.0 builder został zaadaptowany przez Bl00dy, z którego korzystał sam LockBit wyciekł kod źródłowy Conti i kod kupili od BlackMatter, a jednym z niedawnych przykładów jest Hunters International, który twierdził, że kupił kod źródłowy Hive”.

Kivilevich twierdzi, że nie jest zbyt jasne, dlaczego ugrupowanie zagrażające RET mogło sprzedać kod źródłowy i narzędzie do tworzenia oprogramowania Zeppelina za jedyne 500 dolarów. „Trudno powiedzieć” – mówi. „Być może nie sądził, że jest wystarczająco wyrafinowany za wyższą cenę – biorąc pod uwagę, że udało mu się zdobyć kod źródłowy po złamaniu kreatora. Ale nie chcemy tutaj spekulować.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web