Zeppelin Ransomware Source Code & Builder se vinde cu 500 USD pe Dark Web

Un actor de amenințări a vândut pentru doar 500 de dolari codul sursă și un constructor spart pentru Zeppelin, o tulpină de ransomware rusă folosită în numeroase atacuri asupra întreprinderilor și organizațiilor americane din sectoarele de infrastructură critice în trecut.

Vânzarea ar putea semnala renașterea unui ransomware-as-a-service (RaaS) cu Zeppelin, într-un moment în care mulți au eliminat malware-ul ca fiind în mare parte neoperațional și defunct.

Vânzare de incendiu pe forumul RAMP Crime

Cercetătorii de la firma israeliană de securitate cibernetică KELA au observat la sfârșitul lunii decembrie un actor de amenințare care folosea mânerul „RET”, oferind codul sursă și generatorul pentru Zeppelin2 spre vânzare pe RAMP, un forum rusesc de criminalitate cibernetică care, printre altele, a găzduit cândva site-ul de scurgeri de ransomware Babuk. Câteva zile mai târziu, pe 31 decembrie, actorul amenințării a susținut că a vândut malware-ul unui membru al forumului RAMP.

Victoria Kivilevici, director de cercetare a amenințărilor la KELA, spune că nu este clar cum sau de unde, actorul amenințărilor ar fi putut obține codul și generatorul pentru Zeppelin. „Vânzătorul a precizat că „au dat peste” constructorul și l-au spart pentru a exfiltra codul sursă scris în Delphi”, spune Kivilevich. RET a precizat că ei nu sunt autorul malware-ului, adaugă ea.

Codul care era la vânzare pare să fi fost pentru o versiune de Zeppelin care a corectat mai multe slăbiciuni în rutinele de criptare ale versiunii originale. Aceste puncte slabe le-au permis cercetătorilor de la firma de securitate cibernetică Unit221B să spargă cheile de criptare ale lui Zeppelin și, timp de aproape doi ani, să ajute în liniște organizațiile victime să decripteze datele blocate. Activitatea RaaS legată de Zeppelin a scăzut după știrile despre Unit22B instrument de decriptare secretă a devenit publică în noiembrie 2022.

Kivilevich spune că singurele informații despre codul pe care RET l-a oferit spre vânzare a fost o captură de ecran a codului sursă. Pe baza acestor informații numai, este greu pentru KELA să evalueze dacă codul este autentic sau nu, spune ea. Cu toate acestea, actorul de amenințare RET a fost activ pe cel puțin alte două forumuri de criminalitate cibernetică folosind diferite manere și pare să fi stabilit un fel de credibilitate pe unul dintre ele.

„Pe unul dintre ele, are o reputație bună și trei tranzacții de succes confirmate prin intermediul serviciului de intermediar pe forum, ceea ce adaugă o oarecare credibilitate actorului”, spune Kivilevich.

„KELA a văzut, de asemenea, o recenzie neutră de la un cumpărător al unuia dintre produsele sale, care pare a fi o soluție de bypass antivirus. Analiza a spus că este capabil să neutralizeze un antivirus similar cu Windows Defender, dar nu va funcționa pe antivirus „serios”, adaugă ea.

O amenințare cândva puternică se prăbușește și arde

Zeppelin este un ransomware pe care actorii amenințărilor l-au folosit în mai multe atacuri asupra țintelor din SUA începând cu cel puțin 2019. Malware-ul este un derivat al VegaLocker, un ransomware scris în limbajul de programare Delphi. În august 2022, Agenția SUA pentru Securitate Cibernetică și Securitate a Infrastructurii (CISA) și FBI au lansat indicatori de compromis și detalii despre tacticile, tehnicile și procedurile (TTP) pe care actorii Zeppelin le foloseau pentru a distribui malware și a infecta sistemele.

La acea vreme, CISA a descris malware-ul ca fiind folosit în mai multe atacuri împotriva țintelor din SUA, inclusiv contractori de apărare, producători, instituții de învățământ, companii de tehnologie și, în special, organizații din industria medicală și de asistență medicală. Cererile inițiale de răscumpărare în atacurile care implică Zeppelin au variat de la câteva mii de dolari la peste un milion de dolari în unele cazuri.

Kivilevich spune că este probabil ca cumpărătorul codului sursă Zeppelin să facă ceea ce au alții atunci când au achiziționat cod malware.

„În trecut, am văzut diferiți actori reutilizand codul sursă al altor tulpini în operațiunile lor, așa că este posibil ca cumpărătorul să folosească codul în același mod”, spune ea. „De exemplu, cele scurse LockBit 3.0 constructorul a fost adoptat de Bl00dy, pe care îl foloseau LockBit a scurs codul sursă Conti și codul pe care l-au achiziționat de la BlackMatter, iar unul dintre exemplele recente este Hunters International, care a susținut că a achiziționat codul sursă Hive.”

Kivilevich spune că nu este foarte clar de ce actorul de amenințări RET ar fi vândut codul sursă și constructorul lui Zeppelin pentru doar 500 de dolari. „Greu de spus”, spune ea. „Poate că nu a crezut că este suficient de sofisticat pentru un preț mai mare – având în vedere că a reușit să obțină codul sursă după ce a spart constructorul. Dar nu vrem să speculăm aici.”

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web