En hotaktör har sålt källkoden för bara 500 dollar och en knäckt byggare för Zeppelin, en rysk ransomware-stam som tidigare använts i många attacker mot amerikanska företag och organisationer inom kritiska infrastruktursektorer.
Försäljningen kan signalera återupplivandet av en ransomware-as-a-service (RaaS) med Zeppelin, vid en tidpunkt då många hade avskrivit skadlig programvara som i stort sett icke-operativ och nedlagd.
Brandförsäljning på RAMP Crime Forum
Forskare vid det israeliska cybersäkerhetsföretaget KELA upptäckte i slutet av december en hotaktör som använde handtaget "RET" som erbjuder källkoden och byggare för Zeppelin2 till försäljning på RAMP, ett ryskt cyberbrottsforum som bland annat en gång var värd för Babuk ransomwares läckasida. Ett par dagar senare, den 31 december, hävdade hotaktören att han sålt skadlig programvara till en RAMP-forummedlem.
Victoria Kivilevich, chef för hotforskning vid FPA, säger att det är oklart hur, eller varifrån, hotaktören kan ha fått tag i koden och byggaren för Zeppelin. "Säljaren har specificerat att de "kom över" byggaren och knäckte den för att exfiltrera källkod skriven i Delphi," säger Kivilevich. RET har klargjort att de inte är författaren till skadlig programvara, tillägger hon.
Koden som var till försäljning verkar ha varit för en version av Zeppelin som korrigerade flera svagheter i originalversionens krypteringsrutiner. Dessa svagheter hade gjort det möjligt för forskare från cybersäkerhetsföretaget Unit221B att knäcka Zeppelins krypteringsnycklar och, i nästan två år, i tysthet hjälpa offerorganisationer att dekryptera låst data. Zeppelin-relaterad RaaS-aktivitet minskade efter nyheter om Unit22B:s hemligt dekrypteringsverktyg blev offentlig i november 2022.
Kivilevich säger att den enda informationen om koden som RET erbjöd till försäljning var en skärmdump av källkoden. Enbart utifrån den informationen är det svårt för FPA att bedöma om koden är äkta eller inte, säger hon. Hotaktören RET har dock varit aktiv på minst två andra cyberbrottsforum med olika handtag och verkar ha etablerat någon form av trovärdighet på ett av dem.
"På en av dem har han ett gott rykte och tre bekräftade framgångsrika affärer genom forummellantjänsten, vilket ger en viss trovärdighet till skådespelaren," säger Kivilevich.
”KELA har också sett en neutral recension från en köpare av en av hans produkter, som verkar vara en förbikopplingslösning för antivirus. Granskningen sa att det kan neutralisera ett antivirus som liknar Windows Defender, men det kommer inte att fungera på "seriöst" antivirus", tillägger hon.
Ett en gång kraftigt hot kraschar och brinner
Zeppelin är ransomware som hotaktörer har använt i flera attacker mot amerikanska mål som går tillbaka till åtminstone 2019. Skadlig programvara är ett derivat av VegaLocker, en ransomware skriven i programmeringsspråket Delphi. I augusti 2022 släppte US Cybersecurity and Infrastructure Security Agency (CISA) och FBI indikatorer för kompromisser och detaljer om taktik, teknik och procedurer (TTP) som Zeppelin-aktörer använde för att distribuera skadlig programvara och infektera system.
Vid den tiden beskrev CISA att skadlig programvara användes i flera attacker mot amerikanska mål, inklusive försvarsentreprenörer, tillverkare, utbildningsinstitutioner, teknikföretag och särskilt organisationer inom medicin- och hälsovårdsindustrin. De ursprungliga kraven på lösen i attacker som involverade Zeppelin varierade från några tusen dollar till över en miljon dollar i vissa fall.
Kivilevich säger att det är troligt att köparen av Zeppelin-källkoden kommer att göra vad andra har när de har skaffat skadlig kod.
"Tidigare har vi sett olika aktörer återanvända källkoden från andra stammar i sin verksamhet, så det är möjligt att köparen kommer att använda koden på samma sätt", säger hon. "Till exempel det läckta LockBit 3.0 builder antogs av Bl00dy, LockBit själva använde läckt Conti källkod och kod de köpte från BlackMatter, och ett av de senaste exemplen är Hunters International som påstod sig ha köpt Hive-källkoden."
Kivilevich säger att det inte är särskilt klart varför hotaktören RET kan ha sålt Zeppelins källkod och byggare för bara $500. "Svårt att säga", säger hon. "Möjligen tyckte han inte att det var sofistikerat nog för ett högre pris - med tanke på att han lyckades få tag i källkoden efter att ha knäckt byggaren. Men vi vill inte spekulera här."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- : har
- :är
- :inte
- :var
- 2019
- 2022
- 31
- a
- Able
- förvärvade
- tvärs
- aktiv
- aktivitet
- aktörer
- Lägger
- antagen
- Efter
- byrå
- tillåts
- ensam
- också
- bland
- an
- och
- och infrastruktur
- antivirus
- visas
- ÄR
- AS
- bedöma
- At
- Attacker
- AUGUSTI
- Författaren
- tillbaka
- baserat
- BE
- blev
- varit
- Där vi får lov att vara utan att konstant prestera,
- byggare
- företag
- men
- KÖPARE..
- by
- bypass
- kom
- CISA
- hävdade
- klar
- koda
- Företag
- kompromiss
- BEKRÄFTAT
- med tanke på
- Conti
- Företag
- Korrigerad
- kunde
- Par
- spricka
- knäckt
- sprickbildning
- Trovärdighet
- Brott
- kritisk
- Kritisk infrastruktur
- cyberbrottslighet
- Cybersäkerhet
- Byrån för cybersäkerhet och infrastruktur
- mörkt
- mörk Web
- datum
- Dagar
- Erbjudanden
- december
- December
- Avkryptera
- Försvar
- borttaget
- Delphi
- krav
- derivat
- beskriven
- detaljer
- didn
- olika
- distribuera
- do
- dollar
- donation
- pedagogiska
- kryptering
- tillräckligt
- speciellt
- etablerade
- Eter (ETH)
- exempel
- exempel
- FBI
- fbi släppt
- Med
- få
- Firm
- För
- Forum
- forum
- från
- verklig
- skaffa sig
- kommer
- god
- hade
- hantera
- Handtag
- Hård
- Har
- he
- hälso-och sjukvård
- hjälpa
- här.
- högre
- hans
- Bikupa
- värd
- Hur ser din drömresa ut
- Men
- HTTPS
- if
- in
- Inklusive
- indikatorer
- industrier
- informationen
- Infrastruktur
- inledande
- instanser
- institutioner
- Internationell
- involverar
- israelisk
- IT
- jpg
- bara
- nycklar
- språk
- till stor del
- Sent
- senare
- läckage
- t minst
- sannolikt
- låst
- gjord
- malware
- förvaltade
- Tillverkare
- många
- medicinsk
- medlem
- kanske
- miljon
- miljoner dollar
- multipel
- nästan
- Neutral
- nyheter
- November
- talrik
- erhållna
- of
- sänkt
- erbjuds
- erbjuda
- on
- gång
- ONE
- endast
- Verksamhet
- or
- organisationer
- ursprungliga
- Övriga
- Övrigt
- över
- Tidigare
- plato
- Platon Data Intelligence
- PlatonData
- möjlig
- eventuellt
- pris
- förfaranden
- Produkter
- Programmering
- allmän
- köpt
- köpare
- tyst
- Ramp
- Ransom
- Ransomware
- senaste
- frigörs
- rykte
- forskning
- forskare
- översyn
- ryska
- s
- Nämnda
- Till Salu
- Samma
- säger
- Sektorer
- säkerhet
- verkar
- sett
- Säljer
- allvarlig
- service
- flera
- hon
- Signal
- liknande
- webbplats
- So
- säljs
- lösning
- några
- sofistikerade
- Källa
- källkod
- specificerade
- stammar
- framgångsrik
- System
- T
- taktik
- mål
- tekniker
- Teknologi
- teknikföretag
- tala
- den där
- Smakämnen
- källan
- deras
- Dem
- sig själva
- de
- saker
- tror
- de
- tusen
- hot
- hotaktörer
- tre
- Genom
- tid
- till
- två
- oklar
- us
- användning
- Begagnade
- med hjälp av
- Ve
- version
- mycket
- Victim
- vill
- var
- Sätt..
- we
- webb
- były
- Vad
- när
- som
- VEM
- varför
- kommer
- fönster
- Vann
- Arbete
- skriven
- år
- zephyrnet
- Zeppelin
