ผู้ก่อภัยคุกคามขายซอร์สโค้ดและตัวสร้างแคร็กสำหรับ Zeppelin ซึ่งเป็นแรนซั่มแวร์สายพันธุ์รัสเซียที่ใช้ในการโจมตีธุรกิจและองค์กรของสหรัฐฯ ในภาคโครงสร้างพื้นฐานที่สำคัญในอดีตหลายครั้งด้วยราคาเพียง 500 ดอลลาร์
การขายครั้งนี้อาจส่งสัญญาณถึงการฟื้นตัวของ ransomware-as-a-service (RaaS) ที่มี Zeppelin ในช่วงเวลาที่หลายๆ คนได้ตัดมัลแวร์ดังกล่าวออกเนื่องจากส่วนใหญ่ใช้งานไม่ได้และไม่ได้ใช้งานแล้ว
การขายไฟในฟอรัม RAMP Crime
นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ของอิสราเอล KELA ในช่วงปลายเดือนธันวาคม ตรวจพบผู้คุกคามที่ใช้ชื่อเรียก “RET” ซึ่งเสนอซอร์สโค้ดและตัวสร้างสำหรับ Zeppelin2 ขายบน RAMP ซึ่งเป็นฟอรัมอาชญากรรมในโลกไซเบอร์ของรัสเซีย ซึ่งครั้งหนึ่งเคยเป็นโฮสต์ของไซต์รั่วไหลของแรนซัมแวร์ Babuk สองสามวันต่อมา ในวันที่ 31 ธันวาคม ผู้คุกคามอ้างว่าขายมัลแวร์ให้กับสมาชิกฟอรัม RAMP
วิกตอเรีย คิวิเลวิช ผู้อำนวยการฝ่ายวิจัยภัยคุกคามที่ KELA กล่าวว่ายังไม่ชัดเจนว่าผู้ดำเนินการภัยคุกคามอาจได้รับรหัสและผู้สร้าง Zeppelin ได้อย่างไรหรือจากที่ไหน “ผู้ขายระบุว่าพวกเขา 'เจอ' ผู้สร้างและถอดรหัสมันเพื่อขโมยซอร์สโค้ดที่เขียนด้วย Delphi” Kivilevich กล่าว RET ได้ชี้แจงอย่างชัดเจนว่าพวกเขาไม่ใช่ผู้เขียนมัลแวร์ เธอกล่าวเสริม
โค้ดที่ลดราคาดูเหมือนจะเป็นเวอร์ชันของ Zeppelin ที่แก้ไขจุดอ่อนหลายประการในขั้นตอนการเข้ารหัสของเวอร์ชันดั้งเดิม จุดอ่อนเหล่านั้นทำให้นักวิจัยจากบริษัทรักษาความปลอดภัยทางไซเบอร์ Unit221B สามารถถอดรหัสคีย์เข้ารหัสของ Zeppelin และช่วยองค์กรเหยื่อถอดรหัสข้อมูลที่ล็อคไว้อย่างเงียบๆ เป็นเวลาเกือบสองปี กิจกรรม RaaS ที่เกี่ยวข้องกับ Zeppelin ลดลงหลังจากข่าวของ Unit22B เครื่องมือถอดรหัสลับ เผยแพร่ต่อสาธารณะในเดือนพฤศจิกายน 2022
Kivilevich กล่าวว่าข้อมูลเดียวในโค้ดที่ RET เสนอขายคือภาพหน้าจอของซอร์สโค้ด จากข้อมูลดังกล่าวเพียงอย่างเดียว KELA จึงประเมินได้ยากว่าโค้ดนั้นเป็นของแท้หรือไม่ เธอกล่าว อย่างไรก็ตาม ผู้ดำเนินการภัยคุกคาม RET ได้ใช้งานฟอรัมอาชญากรรมทางไซเบอร์อื่น ๆ อย่างน้อยสองฟอรัมโดยใช้การจัดการที่แตกต่างกัน และดูเหมือนว่าจะสร้างความน่าเชื่อถือในฟอรัมใดฟอรัมหนึ่ง
“ หนึ่งในนั้นเขามีชื่อเสียงที่ดีและมีข้อตกลงที่ประสบความสำเร็จสามข้อที่ยืนยันผ่านบริการคนกลางของฟอรัมซึ่งเพิ่มความน่าเชื่อถือให้กับนักแสดง” Kivilevich กล่าว
“KELA ยังได้เห็นบทวิจารณ์ที่เป็นกลางจากผู้ซื้อผลิตภัณฑ์ตัวใดตัวหนึ่งของเขา ซึ่งดูเหมือนว่าจะเป็นโซลูชันบายพาสแอนตี้ไวรัส รีวิวกล่าวว่าสามารถต่อต้านแอนตี้ไวรัสที่คล้ายกับ Windows Defender ได้ แต่มันจะใช้งานไม่ได้กับแอนตี้ไวรัสที่ 'ร้ายแรง'” เธอกล่าวเสริม
ภัยคุกคามที่ครั้งหนึ่งอาจล่มและลุกลาม
Zeppelin เป็นแรนซัมแวร์ที่ผู้คุกคามใช้ในการโจมตีเป้าหมายของสหรัฐฯ หลายครั้งย้อนกลับไปอย่างน้อยปี 2019 มัลแวร์นี้เป็นอนุพันธ์ของ VegaLocker ซึ่งเป็นแรนซัมแวร์ที่เขียนด้วยภาษาการเขียนโปรแกรม Delphi ในเดือนสิงหาคม ปี 2022 หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) และ FBI ได้เปิดเผยตัวบ่งชี้ของการประนีประนอมและรายละเอียดเกี่ยวกับกลยุทธ์ เทคนิค และขั้นตอน (TTP) ที่นักแสดง Zeppelin ใช้เพื่อเผยแพร่มัลแวร์และระบบติดเชื้อ
ในขณะนั้น CISA อธิบายว่ามัลแวร์ดังกล่าวถูกใช้ในการโจมตีเป้าหมายของสหรัฐฯ หลายครั้ง รวมถึงผู้รับเหมาด้านการป้องกัน ผู้ผลิต สถาบันการศึกษา บริษัทเทคโนโลยี และโดยเฉพาะอย่างยิ่งองค์กรในอุตสาหกรรมการแพทย์และการดูแลสุขภาพ การเรียกร้องค่าไถ่เบื้องต้นในการโจมตีที่เกี่ยวข้องกับ Zeppelin มีตั้งแต่สองสามพันดอลลาร์ไปจนถึงมากกว่าหนึ่งล้านดอลลาร์ในบางกรณี
Kivilevich กล่าวว่ามีแนวโน้มว่าผู้ซื้อซอร์สโค้ด Zeppelin จะทำในสิ่งที่คนอื่นทำเมื่อพวกเขาได้รับโค้ดมัลแวร์
“ในอดีต เราเคยเห็นนักแสดงหลายคนนำซอร์สโค้ดของสายพันธุ์อื่นมาใช้ซ้ำในการดำเนินงานของพวกเขา ดังนั้นจึงเป็นไปได้ที่ผู้ซื้อจะใช้โค้ดในลักษณะเดียวกัน” เธอกล่าว “ยกตัวอย่างเรื่องที่รั่วไหลออกมา ล็อคบิท 3.0 ตัวสร้างได้รับการรับรองโดย Bl00dy ตัว LockBit ก็ใช้งานอยู่ ซอร์สโค้ดของ Conti รั่วไหลออกมา และโค้ดที่พวกเขาซื้อจาก BlackMatter และหนึ่งในตัวอย่างล่าสุดคือ Hunters International ที่อ้างว่าได้ซื้อซอร์สโค้ด Hive”
Kivilevich กล่าวว่ายังไม่ชัดเจนว่าทำไมนักแสดงที่เป็นภัยคุกคาม RET อาจขายซอร์สโค้ดและผู้สร้างของ Zeppelin ในราคาเพียง 500 ดอลลาร์ “ยากที่จะบอก” เธอกล่าว “บางทีเขาอาจไม่คิดว่ามันซับซ้อนเพียงพอสำหรับราคาที่สูงกว่า — เมื่อพิจารณาว่าเขาจัดการเพื่อให้ได้ซอร์สโค้ดหลังจากถอดรหัสตัวสร้างแล้ว แต่เราไม่ต้องการคาดเดาที่นี่”
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
- เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
- เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
- เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
- ที่มา: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :มี
- :เป็น
- :ไม่
- :ที่ไหน
- 2019
- 2022
- 31
- a
- สามารถ
- ที่ได้มา
- ข้าม
- คล่องแคล่ว
- อยากทำกิจกรรม
- นักแสดง
- เพิ่ม
- บุญธรรม
- หลังจาก
- บริษัท ตัวแทน
- อนุญาตให้
- คนเดียว
- ด้วย
- ในหมู่
- an
- และ
- และโครงสร้างพื้นฐาน
- โปรแกรมป้องกันไวรัส
- ปรากฏ
- เป็น
- AS
- ประเมินผล
- At
- การโจมตี
- สิงหาคม
- ผู้เขียน
- กลับ
- ตาม
- BE
- กลายเป็น
- รับ
- กำลัง
- สร้าง
- ธุรกิจ
- แต่
- ผู้ซื้อ..
- by
- ทางอ้อม
- มา
- ซีไอเอสเอ
- อ้างว่า
- ชัดเจน
- รหัส
- บริษัท
- การประนีประนอม
- ยืนยัน
- พิจารณา
- คอนติ
- ผู้รับเหมา
- การแก้ไข
- ได้
- คู่
- ร้าว
- แตกระแหง
- กรอบ
- ความน่าเชื่อถือ
- อาชญากรรม
- วิกฤติ
- โครงสร้างพื้นฐานที่สำคัญ
- อาชญากรรม
- cybersecurity
- สำนักงานความมั่นคงปลอดภัยไซเบอร์และโครงสร้างพื้นฐาน
- มืด
- Dark Web
- ข้อมูล
- วัน
- ข้อเสนอ
- ธันวาคม
- ธันวาคม
- ถอดรหัส
- ป้องกัน
- เสียชีวิต
- Delphi
- ความต้องการ
- ตราสารอนุพันธ์
- อธิบาย
- รายละเอียด
- didn
- ต่าง
- กระจาย
- do
- ดอลลาร์
- สวม
- เกี่ยวกับการศึกษา
- การเข้ารหัสลับ
- พอ
- โดยเฉพาะอย่างยิ่ง
- ที่จัดตั้งขึ้น
- อีเธอร์ (ETH)
- ตัวอย่าง
- ตัวอย่าง
- เอฟบีไอ
- เอฟบีไอปล่อยตัวแล้ว
- ที่มีคุณสมบัติ
- สองสาม
- บริษัท
- สำหรับ
- ฟอรั่ม
- ฟอรั่ม
- ราคาเริ่มต้นที่
- แท้
- ได้รับ
- ไป
- ดี
- มี
- จัดการ
- จัดการ
- ยาก
- มี
- he
- การดูแลสุขภาพ
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- สูงกว่า
- ของเขา
- รัง
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTTPS
- if
- in
- รวมทั้ง
- ตัวชี้วัด
- อุตสาหกรรม
- ข้อมูล
- โครงสร้างพื้นฐาน
- แรกเริ่ม
- อินสแตนซ์
- สถาบัน
- International
- ที่เกี่ยวข้องกับ
- ชาวอิสราเอล
- IT
- jpg
- เพียงแค่
- กุญแจ
- ภาษา
- ส่วนใหญ่
- ปลาย
- ต่อมา
- รั่วไหล
- น้อยที่สุด
- น่าจะ
- ล็อค
- ทำ
- มัลแวร์
- การจัดการ
- ผู้ผลิตยา
- หลาย
- ทางการแพทย์
- สมาชิก
- อาจ
- ล้าน
- ล้านดอลลาร์
- หลาย
- เกือบทั้งหมด
- เป็นกลาง
- ข่าว
- พฤศจิกายน
- มากมาย
- ที่ได้รับ
- of
- ปิด
- เสนอ
- การเสนอ
- on
- ครั้งเดียว
- ONE
- เพียง
- การดำเนินการ
- or
- องค์กร
- เป็นต้นฉบับ
- อื่นๆ
- ผลิตภัณฑ์อื่นๆ
- เกิน
- อดีต
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เป็นไปได้
- อาจ
- ราคา
- ขั้นตอน
- ผลิตภัณฑ์
- การเขียนโปรแกรม
- สาธารณะ
- ซื้อ
- ผู้ซื้อ
- เงียบ ๆ
- ทางลาด
- ค่าไถ่
- ransomware
- เมื่อเร็ว ๆ นี้
- การเผยแพร่
- ชื่อเสียง
- การวิจัย
- นักวิจัย
- ทบทวน
- รัสเซีย
- s
- กล่าวว่า
- การขาย
- เดียวกัน
- พูดว่า
- ภาค
- ความปลอดภัย
- ดูเหมือนว่า
- เห็น
- ขาย
- ร้ายแรง
- บริการ
- หลาย
- เธอ
- สัญญาณ
- คล้ายคลึงกัน
- เว็บไซต์
- So
- ขาย
- ทางออก
- บาง
- ซับซ้อน
- แหล่ง
- รหัสแหล่งที่มา
- ที่ระบุไว้
- สายพันธุ์
- ที่ประสบความสำเร็จ
- ระบบ
- T
- กลยุทธ์
- เป้าหมาย
- เทคนิค
- เทคโนโลยี
- บริษัท เทคโนโลยี
- บอก
- ที่
- พื้นที่
- ที่มา
- ของพวกเขา
- พวกเขา
- ตัวเอง
- พวกเขา
- สิ่ง
- คิด
- เหล่านั้น
- พัน
- การคุกคาม
- ตัวแสดงภัยคุกคาม
- สาม
- ตลอด
- เวลา
- ไปยัง
- สอง
- กำกวม
- us
- ใช้
- มือสอง
- การใช้
- Ve
- รุ่น
- มาก
- เหยื่อ
- ต้องการ
- คือ
- ทาง..
- we
- เว็บ
- คือ
- อะไร
- เมื่อ
- ที่
- WHO
- ทำไม
- จะ
- หน้าต่าง
- วอน
- งาน
- เขียน
- ปี
- ลมทะเล
- Zeppelin