Исходный код и сборщик программы-вымогателя Zeppelin продаются в даркнете за 500 долларов

Злоумышленник продал всего за 500 долларов исходный код и взломанную сборку Zeppelin, российского штамма программы-вымогателя, использовавшегося в прошлом в многочисленных атаках на американские предприятия и организации в критически важных инфраструктурных секторах.

Продажа может сигнализировать о возрождении программы-вымогателя как услуги (RaaS) с участием Zeppelin, в то время как многие списывали вредоносное ПО как практически неработоспособное и несуществующее.

Распродажа на криминальном форуме RAMP

В конце декабря исследователи израильской фирмы по кибербезопасности KELA заметили злоумышленника, использовавшего никнейм «RET», предлагающего исходный код и сборку Zeppelin2 для продажи на RAMP, российском форуме по киберпреступности, на котором, среди прочего, когда-то размещался сайт утечки программы-вымогателя Babuk. Пару дней спустя, 31 декабря, злоумышленник заявил, что продал вредоносное ПО участнику форума RAMP.

Виктория Кивилевич, директор по исследованию угроз в KELA, говорит, что неясно, как и откуда злоумышленник мог получить код и сборщик для Zeppelin. «Продавец уточнил, что они «наткнулись» на сборщик и взломали его, чтобы получить исходный код, написанный на Delphi», — говорит Кивилевич. RET ясно дала понять, что они не являются автором вредоносного ПО, добавляет она.

Код, который продавался, судя по всему, предназначался для версии Zeppelin, которая исправляла многочисленные уязвимости в процедурах шифрования исходной версии. Эти слабости позволили исследователям из фирмы по кибербезопасности Unit221B взломать ключи шифрования Zeppelin и в течение почти двух лет незаметно помогать организациям-жертвам расшифровывать заблокированные данные. Активность RaaS, связанная с Zeppelin, снизилась после новостей о Unit22B секретный инструмент расшифровки стало достоянием общественности в ноябре 2022 года.

Кивилевич говорит, что единственной информацией о коде, которую RET выставил на продажу, был скриншот исходного кода. По ее словам, основываясь только на этой информации, KELA трудно оценить, является ли код подлинным или нет. Тем не менее, злоумышленник RET активно действовал по меньшей мере на двух других форумах по киберпреступности, используя разные псевдонимы, и, судя по всему, завоевал определенный авторитет на одном из них.

«На одном из них у него хорошая репутация, а три подтверждены успешные сделки через посредническую службу форума, что добавляет актеру определенного авторитета», — говорит Кивилевич.

«KELA также увидела нейтральный отзыв от покупателя об одном из своих продуктов, который, похоже, представляет собой решение для обхода антивируса. В обзоре говорится, что он способен нейтрализовать антивирус, аналогичный Защитнику Windows, но не будет работать с «серьезным» антивирусом», — добавляет она.

Некогда мощная угроза терпит крах и сгорает

Zeppelin — это программа-вымогатель, которую злоумышленники использовали в многочисленных атаках на объекты в США, начиная как минимум с 2019 года. Вредоносная программа является производной от VegaLocker, программы-вымогателя, написанной на языке программирования Delphi. В августе 2022 года Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали показатели компрометации и подробную информацию о тактике, методах и процедурах (TTP), которые участники Zeppelin использовали для распространения вредоносного ПО и заражения систем.

В то время CISA описала, что это вредоносное ПО использовалось в нескольких атаках на объекты в США, включая оборонных подрядчиков, производителей, образовательные учреждения, технологические компании и особенно организации в сфере медицины и здравоохранения. Первоначальные требования о выкупе при атаках с участием Zeppelin варьировались от нескольких тысяч долларов до более миллиона долларов в некоторых случаях.

Кивилевич говорит, что вполне вероятно, что покупатель исходного кода Zeppelin сделает то же, что и другие, получившие вредоносный код.

«В прошлом мы видели, как разные участники повторно использовали исходный код других штаммов в своих операциях, поэтому вполне возможно, что покупатель будет использовать код таким же образом», — говорит она. «Например, утечка LockBit 3.0 Builder был принят Bl00dy, сами LockBit использовали утечка исходного кода Conti и код, который они приобрели у BlackMatter, и одним из недавних примеров является Hunters International, которая заявила, что приобрела исходный код Hive».

Кивилевич говорит, что не совсем понятно, почему злоумышленник RET мог продать исходный код и сборщик Zeppelin всего за 500 долларов. «Трудно сказать», — говорит она. «Возможно, он не думал, что он достаточно сложен для более высокой цены, учитывая, что ему удалось получить исходный код после взлома сборщика. Но мы не хотим здесь спекулировать».

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web