Злоумышленник продал всего за 500 долларов исходный код и взломанную сборку Zeppelin, российского штамма программы-вымогателя, использовавшегося в прошлом в многочисленных атаках на американские предприятия и организации в критически важных инфраструктурных секторах.
Продажа может сигнализировать о возрождении программы-вымогателя как услуги (RaaS) с участием Zeppelin, в то время как многие списывали вредоносное ПО как практически неработоспособное и несуществующее.
Распродажа на криминальном форуме RAMP
В конце декабря исследователи израильской фирмы по кибербезопасности KELA заметили злоумышленника, использовавшего никнейм «RET», предлагающего исходный код и сборку Zeppelin2 для продажи на RAMP, российском форуме по киберпреступности, на котором, среди прочего, когда-то размещался сайт утечки программы-вымогателя Babuk. Пару дней спустя, 31 декабря, злоумышленник заявил, что продал вредоносное ПО участнику форума RAMP.
Виктория Кивилевич, директор по исследованию угроз в KELA, говорит, что неясно, как и откуда злоумышленник мог получить код и сборщик для Zeppelin. «Продавец уточнил, что они «наткнулись» на сборщик и взломали его, чтобы получить исходный код, написанный на Delphi», — говорит Кивилевич. RET ясно дала понять, что они не являются автором вредоносного ПО, добавляет она.
Код, который продавался, судя по всему, предназначался для версии Zeppelin, которая исправляла многочисленные уязвимости в процедурах шифрования исходной версии. Эти слабости позволили исследователям из фирмы по кибербезопасности Unit221B взломать ключи шифрования Zeppelin и в течение почти двух лет незаметно помогать организациям-жертвам расшифровывать заблокированные данные. Активность RaaS, связанная с Zeppelin, снизилась после новостей о Unit22B секретный инструмент расшифровки стало достоянием общественности в ноябре 2022 года.
Кивилевич говорит, что единственной информацией о коде, которую RET выставил на продажу, был скриншот исходного кода. По ее словам, основываясь только на этой информации, KELA трудно оценить, является ли код подлинным или нет. Тем не менее, злоумышленник RET активно действовал по меньшей мере на двух других форумах по киберпреступности, используя разные псевдонимы, и, судя по всему, завоевал определенный авторитет на одном из них.
«На одном из них у него хорошая репутация, а три подтверждены успешные сделки через посредническую службу форума, что добавляет актеру определенного авторитета», — говорит Кивилевич.
«KELA также увидела нейтральный отзыв от покупателя об одном из своих продуктов, который, похоже, представляет собой решение для обхода антивируса. В обзоре говорится, что он способен нейтрализовать антивирус, аналогичный Защитнику Windows, но не будет работать с «серьезным» антивирусом», — добавляет она.
Некогда мощная угроза терпит крах и сгорает
Zeppelin — это программа-вымогатель, которую злоумышленники использовали в многочисленных атаках на объекты в США, начиная как минимум с 2019 года. Вредоносная программа является производной от VegaLocker, программы-вымогателя, написанной на языке программирования Delphi. В августе 2022 года Агентство кибербезопасности и безопасности инфраструктуры США (CISA) и ФБР опубликовали показатели компрометации и подробную информацию о тактике, методах и процедурах (TTP), которые участники Zeppelin использовали для распространения вредоносного ПО и заражения систем.
В то время CISA описала, что это вредоносное ПО использовалось в нескольких атаках на объекты в США, включая оборонных подрядчиков, производителей, образовательные учреждения, технологические компании и особенно организации в сфере медицины и здравоохранения. Первоначальные требования о выкупе при атаках с участием Zeppelin варьировались от нескольких тысяч долларов до более миллиона долларов в некоторых случаях.
Кивилевич говорит, что вполне вероятно, что покупатель исходного кода Zeppelin сделает то же, что и другие, получившие вредоносный код.
«В прошлом мы видели, как разные участники повторно использовали исходный код других штаммов в своих операциях, поэтому вполне возможно, что покупатель будет использовать код таким же образом», — говорит она. «Например, утечка LockBit 3.0 Builder был принят Bl00dy, сами LockBit использовали утечка исходного кода Conti и код, который они приобрели у BlackMatter, и одним из недавних примеров является Hunters International, которая заявила, что приобрела исходный код Hive».
Кивилевич говорит, что не совсем понятно, почему злоумышленник RET мог продать исходный код и сборщик Zeppelin всего за 500 долларов. «Трудно сказать», — говорит она. «Возможно, он не думал, что он достаточно сложен для более высокой цены, учитывая, что ему удалось получить исходный код после взлома сборщика. Но мы не хотим здесь спекулировать».
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :имеет
- :является
- :нет
- :куда
- 2019
- 2022
- 31
- a
- в состоянии
- приобретенный
- через
- активный
- деятельность
- актеры
- Добавляет
- принял
- После
- агентство
- разрешено
- в одиночестве
- причислены
- среди
- an
- и
- и инфраструктура
- антивирус
- появляется
- МЫ
- AS
- оценить
- At
- нападки
- Август
- автор
- назад
- основанный
- BE
- стали
- было
- не являетесь
- строитель
- бизнес
- но
- ПОКУПАТЕЛЬ..
- by
- байпас
- пришел
- CISA
- заявил
- Очистить
- код
- Компании
- скомпрометированы
- ПОДТВЕРЖДЕНО
- принимая во внимание
- Conti
- подрядчики
- исправленный
- может
- Пара
- трещина
- треснувший
- растрескивание
- Доверие
- Преступление
- критической
- Критическая инфраструктура
- киберпреступности
- Информационная безопасность
- Агентство кибербезопасности и безопасности инфраструктуры
- темно
- Dark Web
- данным
- Дней
- Акции
- декабрь
- Декабрь
- Decrypt
- Защита
- умерший
- Delphi
- запросы
- производная
- описано
- подробнее
- А не было
- различный
- распространять
- do
- долларов
- Дон
- образовательных
- шифрование
- достаточно
- особенно
- установленный
- Эфир (ETH)
- пример
- Примеры
- ФБР
- освобождено ФБР
- Показывая
- несколько
- Фирма
- Что касается
- Форум
- форумы
- от
- подлинный
- получить
- будет
- хорошо
- было
- обрабатывать
- Ручки
- Жесткий
- Есть
- he
- здравоохранение
- помощь
- здесь
- высший
- его
- Hive
- состоялся
- Как
- Однако
- HTTPS
- if
- in
- В том числе
- индикаторы
- промышленности
- информация
- Инфраструктура
- начальный
- случаев
- учреждения
- Мультиязычность
- с участием
- израильтянин
- IT
- JPG
- всего
- ключи
- язык
- в значительной степени
- Поздно
- новее
- утечка
- наименее
- Вероятно
- запертый
- сделанный
- вредоносных программ
- управляемого
- Производители
- многих
- основным медицинским
- член
- может быть
- миллиона
- миллион долларов
- с разными
- почти
- Нейтральные
- Новости
- Ноябрь
- многочисленный
- полученный
- of
- от
- предложенный
- предлагающий
- on
- консолидировать
- ONE
- только
- Операционный отдел
- or
- организации
- оригинал
- Другое
- Другое
- за
- мимо
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- возможно
- цена
- Процедуры
- Продукция
- Программирование
- что такое варган?
- купленный
- приобретатель
- тихо
- Ramp
- Выкуп
- вымогателей
- последний
- выпустил
- репутация
- исследованиям
- исследователи
- обзоре
- русский
- s
- Сказал
- sale
- то же
- говорит
- Сектора юридического права
- безопасность
- кажется
- видел
- Продает
- серьезный
- обслуживание
- несколько
- она
- сигнал
- аналогичный
- сайте
- So
- проданный
- Решение
- некоторые
- сложный
- Источник
- исходный код
- указанный
- деформации
- успешный
- системы
- T
- тактика
- направлена против
- снижения вреда
- Технологии
- технологические компании
- сказать
- который
- Ассоциация
- Источник
- их
- Их
- сами
- они
- вещи
- think
- те
- тысяча
- угроза
- актеры угрозы
- три
- Через
- время
- в
- два
- не понятно
- us
- использование
- используемый
- через
- Ve
- версия
- очень
- Жертва
- хотеть
- законопроект
- Путь..
- we
- Web
- были
- Что
- когда
- который
- КТО
- зачем
- будете
- окна
- Выиграл
- Работа
- письменный
- лет
- зефирнет
- Zeppelin