Código-fonte e construtor do Zeppelin Ransomware é vendido por US$ 500 na Dark Web

Um ator de ameaça vendeu por apenas US$ 500 o código-fonte e um construtor crackeado para o Zeppelin, uma variedade russa de ransomware usada em vários ataques a empresas e organizações dos EUA em setores de infraestrutura crítica no passado.

A venda pode sinalizar o renascimento de um ransomware como serviço (RaaS) apresentando o Zeppelin, em um momento em que muitos descartaram o malware como em grande parte não operacional e extinto.

Liquidação no Fórum Criminal RAMP

Pesquisadores da empresa israelense de segurança cibernética KELA detectaram no final de dezembro um agente de ameaça usando o identificador “RET”, oferecendo o código-fonte e o construtor do Zeppelin2 à venda no RAMP, um fórum russo de crimes cibernéticos que, entre outras coisas, já hospedou o site de vazamento do ransomware Babuk. Alguns dias depois, em 31 de dezembro, o agente da ameaça alegou ter vendido o malware a um membro do fórum RAMP.

Victoria Kivilevich, diretor de pesquisa de ameaças da KELA, diz que não está claro como ou de onde o autor da ameaça pode ter obtido o código e o construtor do Zeppelin. “O vendedor especificou que ‘encontrou’ o construtor e o decifrou para exfiltrar o código-fonte escrito em Delphi”, diz Kivilevich. A RET deixou claro que não é o autor do malware, acrescenta ela.

O código que estava à venda parece ser de uma versão do Zeppelin que corrigiu vários pontos fracos nas rotinas de criptografia da versão original. Essas fraquezas permitiram que pesquisadores da empresa de segurança cibernética Unit221B quebrassem as chaves de criptografia do Zeppelin e, por quase dois anos, ajudassem silenciosamente as organizações vítimas a descriptografar dados bloqueados. A atividade RaaS relacionada ao Zeppelin diminuiu após notícias da Unit22B ferramenta de descriptografia secreta tornou-se público em novembro de 2022.

Kivilevich diz que a única informação sobre o código que o RET colocou à venda foi uma captura de tela do código-fonte. Com base apenas nessas informações, é difícil para KELA avaliar se o código é genuíno ou não, diz ela. No entanto, o agente da ameaça RET tem estado ativo em pelo menos dois outros fóruns de crimes cibernéticos usando diferentes identificadores e parece ter estabelecido algum tipo de credibilidade em um deles.

“Em um deles ele tem boa reputação e três negócios bem-sucedidos confirmados por meio do serviço de intermediário do fórum, o que acrescenta alguma credibilidade ao ator”, diz Kivilevich.

“KELA também recebeu uma avaliação neutra de um comprador de um de seus produtos, que parece ser uma solução de desvio de antivírus. A análise disse que é capaz de neutralizar um antivírus semelhante ao Windows Defender, mas não funciona em antivírus ‘sérios’”, acrescenta ela.

Uma ameaça outrora potente quebra e queima

Zeppelin é um ransomware que os agentes de ameaças usaram em vários ataques a alvos dos EUA desde pelo menos 2019. O malware é um derivado do VegaLocker, um ransomware escrito na linguagem de programação Delphi. Em agosto de 2022, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o FBI divulgaram indicadores de comprometimento e detalhes sobre as táticas, técnicas e procedimentos (TTPs) que os atores do Zeppelin estavam usando para distribuir o malware e infectar sistemas.

Na altura, a CISA descreveu o malware como sendo utilizado em vários ataques a alvos dos EUA, incluindo empreiteiros de defesa, fabricantes, instituições educacionais, empresas de tecnologia e, especialmente, organizações dos setores médico e de saúde. Os pedidos iniciais de resgate em ataques envolvendo o Zeppelin variaram de alguns milhares de dólares a mais de um milhão de dólares em alguns casos.

Kivilevich diz que é provável que o comprador do código-fonte do Zeppelin faça o que outros fizeram quando adquiriram o código do malware.

“No passado, vimos diferentes atores reutilizando o código-fonte de outras linhagens em suas operações, então é possível que o comprador utilize o código da mesma forma”, diz ela. “Por exemplo, o vazamento LockBit 3.0 construtor foi adotado pelo Bl00dy, o próprio LockBit estava usando código-fonte do Conti vazado e código que compraram da BlackMatter, e um dos exemplos recentes é a Hunters International, que alegou ter comprado o código-fonte do Hive.”

Kivilevich diz que não está muito claro por que o agente da ameaça RET pode ter vendido o código-fonte e o construtor do Zeppelin por apenas US$ 500. “Difícil dizer”, diz ela. “Possivelmente ele não achou que fosse sofisticado o suficiente para um preço mais alto – considerando que ele conseguiu obter o código-fonte depois de quebrar o construtor. Mas não queremos especular aqui.”

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web