Zeppelin Ransomware Source Code & Builder se prodaja za 500 $ na temnem spletu

Nevarni akter je za samo 500 dolarjev prodal izvorno kodo in vlomljen gradbenik za Zeppelin, ruski izsiljevalski program, ki se je v preteklosti uporabljal pri številnih napadih na ameriška podjetja in organizacije v kritičnih infrastrukturnih sektorjih.

Prodaja bi lahko pomenila oživitev izsiljevalske programske opreme kot storitve (RaaS), ki vključuje Zeppelin, v času, ko so mnogi zlonamerno programsko opremo odpisali kot večinoma nedelujočo in nedelujočo.

Požarna prodaja na forumu RAMP Crime

Raziskovalci izraelskega podjetja za kibernetsko varnost KELA so konec decembra opazili akterja grožnje, ki je uporabljal oznako "RET", ki je ponujal izvorno kodo in gradilnik za Zeppelin2 za prodajo na RAMP, ruskem forumu o kibernetskem kriminalu, ki je med drugim nekoč gostil stran za uhajanje izsiljevalske programske opreme Babuk. Nekaj ​​dni kasneje, 31. decembra, je povzročitelj grožnje trdil, da je zlonamerno programsko opremo prodal članu foruma RAMP.

Viktorija Kivilevič, direktor raziskave groženj pri KELA, pravi, da ni jasno, kako ali od kod je povzročitelj grožnje lahko pridobil kodo in graditelja za Zeppelin. »Prodajalec je navedel, da so 'naleteli' na graditelja in ga vdrli, da bi pridobili izvorno kodo, napisano v Delphiju,« pravi Kivilevich. RET je pojasnila, da niso avtorji zlonamerne programske opreme, dodaja.

Zdi se, da je bila koda, ki je bila v prodaji, za različico Zeppelina, ki je popravila več pomanjkljivosti v šifrirnih rutinah prvotne različice. Te slabosti so raziskovalcem podjetja Unit221B za kibernetsko varnost omogočile, da so vdrli v Zeppelinove šifrirne ključe in skoraj dve leti tiho pomagali organizacijam žrtvam dešifrirati zaklenjene podatke. Dejavnost RaaS, povezana z Zeppelinom, se je zmanjšala po novici o Unit22B tajno orodje za dešifriranje postala javna novembra 2022.

Kivilevich pravi, da je bila edina informacija o kodi, ki jo je RET ponudil v prodajo, posnetek zaslona izvorne kode. Samo na podlagi teh informacij je za KELA težko oceniti, ali je koda pristna ali ne, pravi. Vendar pa je akter grožnje RET aktiven na vsaj dveh drugih forumih o kibernetskem kriminalu z uporabo različnih ročajev in zdi se, da je na enem od njih vzpostavil nekakšno verodostojnost.

"Pri enem od njih ima dober ugled in tri potrjene uspešne posle prek posredniške storitve na forumu, kar igralcu doda nekaj verodostojnosti," pravi Kivilevich.

»KELA je prejela tudi nevtralno oceno kupca enega od njegovih izdelkov, za katerega se zdi, da je protivirusna obvodna rešitev. Pregled je rekel, da lahko nevtralizira protivirusni program, podoben Windows Defenderju, vendar ne bo deloval na "resnem" protivirusnem programu,« dodaja.

Nekoč močna grožnja se zruši in zagori

Zeppelin je izsiljevalska programska oprema, ki so jo akterji groženj uporabili pri številnih napadih na tarče v ZDA vsaj od leta 2019. Zlonamerna programska oprema je izpeljanka izsiljevalske programske opreme VegaLocker, napisane v programskem jeziku Delphi. Avgusta 2022 sta ameriška agencija za kibernetsko varnost in varnost infrastrukture (CISA) in FBI objavila indikatorje ogroženosti in podrobnosti o taktikah, tehnikah in postopkih (TTP), ki so jih igralci Zeppelina uporabljali za distribucijo zlonamerne programske opreme in okužbo sistemov.

Takrat je CISA zlonamerno programsko opremo opisala kot uporabljeno v več napadih na tarče v ZDA, vključno z obrambnimi izvajalci, proizvajalci, izobraževalnimi ustanovami, tehnološkimi podjetji in zlasti organizacijami v medicinski in zdravstveni industriji. Začetne zahteve po odkupnini v napadih, v katere je bil vpleten Zeppelin, so v nekaterih primerih znašale od nekaj tisoč dolarjev do več kot milijon dolarjev.

Kivilevich pravi, da je verjetno, da bo kupec izvorne kode Zeppelin naredil to, kar so drugi, ko bodo pridobili kodo zlonamerne programske opreme.

"V preteklosti smo videli različne akterje, ki so ponovno uporabljali izvorno kodo drugih sevov v svojih operacijah, zato je možno, da bo kupec uporabil kodo na enak način," pravi. »Na primer, razkrito LockBit 3.0 builder sprejel Bl00dy, LockBit pa so uporabljali sami pricurljala izvorna koda Conti in kodo, ki so jo kupili pri BlackMatterju, in eden nedavnih primerov je Hunters International, ki je trdil, da je kupil izvorno kodo Hive.«

Kivilevich pravi, da ni zelo jasno, zakaj je akter grožnje RET morda prodal Zeppelinovo izvorno kodo in graditelja za samo 500 $. "Težko povem," pravi. »Mogoče se mu ni zdelo dovolj sofisticirano za višjo ceno – glede na to, da mu je uspelo pridobiti izvorno kodo, potem ko je vdrl v graditelja. Ampak tukaj ne želimo špekulirati."

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
• vir: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web