Bir tehdit aktörü, geçmişte ABD'deki işletmelere ve kritik altyapı sektörlerindeki kuruluşlara yönelik çok sayıda saldırıda kullanılan bir Rus fidye yazılımı türü olan Zeppelin'in kaynak kodunu ve kırılmış bir oluşturucusunu yalnızca 500 dolara sattı.
Satış, pek çok kişinin kötü amaçlı yazılımı büyük ölçüde işlevsiz ve işlevsiz olarak değerlendirdiği bir dönemde, Zeppelin'i içeren bir hizmet olarak fidye yazılımının (RaaS) yeniden canlanışının sinyalini verebilir.
RAMP Suç Forumunda Yangın Satışı
İsrailli siber güvenlik firması KELA'daki araştırmacılar Aralık ayının sonlarında, Zeppelin2'nin kaynak kodunu ve oluşturucusunu, diğer şeylerin yanı sıra bir zamanlar Babuk fidye yazılımının sızıntı sitesine de ev sahipliği yapan bir Rus siber suç forumu olan RAMP'de satışa sunan "RET" tanıtıcısını kullanan bir tehdit aktörünü tespit etti. Birkaç gün sonra, 31 Aralık'ta tehdit aktörü, kötü amaçlı yazılımı bir RAMP forum üyesine sattığını iddia etti.
Victoria Kivileviç, KELA tehdit araştırma direktörü, tehdit aktörünün Zeplin kodunu ve oluşturucusunu nasıl veya nereden elde etmiş olabileceğinin belirsiz olduğunu söylüyor. Kivilevich, "Satıcı, inşaatçıyla 'karşılaştığını' ve Delphi'de yazılmış kaynak kodunu dışarı çıkarmak için onu kırdığını belirtti" diyor. RET, kötü amaçlı yazılımın yazarının kendileri olmadığını açıkça belirttiğini ekliyor.
Satışa sunulan kodun, orijinal sürümün şifreleme rutinlerindeki birçok zayıf noktayı düzelten bir Zeppelin sürümüne ait olduğu anlaşılıyor. Bu zayıflıklar, siber güvenlik firması Unit221B'deki araştırmacıların Zeppelin'in şifreleme anahtarlarını kırmasına ve neredeyse iki yıl boyunca kurban kuruluşların kilitli verilerin şifresini çözmesine sessizce yardımcı olmasına olanak tanıdı. Unit22B'nin haberi sonrasında Zeplin ile ilgili RaaS etkinliği azaldı gizli şifre çözme aracı Kasım 2022'de halka açıldı.
Kivilevich, RET'in satışa sunduğu kodla ilgili tek bilginin kaynak kodun ekran görüntüsü olduğunu söylüyor. Yalnızca bu bilgilere dayanarak KELA'nın kodun orijinal olup olmadığını değerlendirmesinin zor olduğunu söylüyor. Ancak tehdit aktörü RET, farklı platformlar kullanan en az iki siber suç forumunda daha aktif durumda ve bunlardan birinde bir tür güvenilirlik sağlamış görünüyor.
Kivilevich, "Bunlardan birinde iyi bir üne sahip ve forum aracı hizmeti aracılığıyla onaylanmış üç başarılı anlaşma var, bu da oyuncuya bir miktar güvenilirlik katıyor" diyor.
“KELA ayrıca bir antivirüs baypas çözümü gibi görünen ürünlerinden birinin alıcısından tarafsız bir inceleme gördü. İnceleme, Windows Defender'a benzer bir virüsten koruma yazılımını etkisiz hale getirebildiğini ancak 'ciddi' bir virüsten koruma yazılımı üzerinde çalışmadığını söyledi" diye ekliyor.
Bir Zamanların Güçlü Tehdidi Çökmeler ve Yanıklar
Zeppelin, tehdit aktörlerinin en az 2019 yılına kadar ABD hedeflerine yönelik birden fazla saldırıda kullandığı bir fidye yazılımıdır. Kötü amaçlı yazılım, Delphi programlama dilinde yazılmış bir fidye yazılımı olan VegaLocker'ın bir türevidir. Ağustos 2022'de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, Zeplin aktörlerinin kötü amaçlı yazılımları dağıtmak ve sistemlere bulaşmak için kullandıkları taktikler, teknikler ve prosedürler (TTP'ler) hakkında risk göstergeleri ve ayrıntılar yayınladı.
O dönemde CISA, kötü amaçlı yazılımın savunma yüklenicileri, üreticiler, eğitim kurumları, teknoloji şirketleri ve özellikle tıp ve sağlık sektörlerindeki kuruluşlar dahil olmak üzere ABD hedeflerine yönelik çeşitli saldırılarda kullanıldığını tanımlamıştı. Zeplin saldırılarında ilk fidye talepleri birkaç bin dolardan bazı durumlarda bir milyon doların üzerine kadar değişiyordu.
Kivilevich, Zeppelin kaynak kodunu satın alan kişinin, kötü amaçlı yazılım kodunu aldığında başkalarının yaptığını yapmasının muhtemel olduğunu söylüyor.
"Geçmişte farklı aktörlerin operasyonlarında diğer türlerin kaynak kodunu yeniden kullandığını gördük, dolayısıyla alıcının kodu aynı şekilde kullanması mümkün" diyor. “Örneğin sızdırılan Kilit Biti 3.0 inşaatçı Bl00dy tarafından benimsendi, LockBit'in kendisi de kullanıyordu Conti kaynak kodu sızdırıldı ve BlackMatter'dan satın aldıkları kod ve son örneklerden biri, Hive kaynak kodunu satın aldığını iddia eden Hunters International'dır.
Kivilevich, tehdit aktörü RET'in neden Zeppelin'in kaynak kodunu ve oluşturucusunu sadece 500 dolara satmış olabileceğinin çok açık olmadığını söylüyor. "Söylemesi zor" diyor. “İnşaatçıyı kırdıktan sonra kaynak kodunu almayı başardığı göz önüne alındığında, muhtemelen daha yüksek bir fiyat için yeterince karmaşık olduğunu düşünmemişti. Ancak burada spekülasyon yapmak istemiyoruz."
- SEO Destekli İçerik ve Halkla İlişkiler Dağıtımı. Bugün Gücünüzü Artırın.
- PlatoData.Network Dikey Üretken Yapay Zeka. Kendine güç ver. Buradan Erişin.
- PlatoAiStream. Web3 Zekası. Bilgi Genişletildi. Buradan Erişin.
- PlatoESG. karbon, temiz teknoloji, Enerji, Çevre, Güneş, Atık Yönetimi. Buradan Erişin.
- PlatoSağlık. Biyoteknoloji ve Klinik Araştırmalar Zekası. Buradan Erişin.
- Kaynak: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- :vardır
- :dır-dir
- :olumsuzluk
- :Neresi
- 2019
- 2022
- 31
- a
- Yapabilmek
- edinilen
- karşısında
- aktif
- etkinlik
- aktörler
- Ekler
- benimsenen
- Sonra
- ajans
- izin
- tek başına
- Ayrıca
- arasında
- an
- ve
- ve altyapı
- antivirüs
- belirir
- ARE
- AS
- belirlemek
- At
- saldırılar
- Ağustos
- yazar
- Arka
- merkezli
- BE
- oldu
- olmuştur
- olmak
- oluşturucu
- işletmeler
- fakat
- ALICI..
- by
- baypas
- geldi
- CISA
- iddia
- açık
- kod
- Şirketler
- uzlaşma
- ONAYLANDI
- düşünen
- Conti
- müteahhitler
- düzeltilmiş
- olabilir
- Çift
- çatlak
- çatlak
- çatlama
- güvenilirlik
- Suç
- kritik
- Kritik altyapı
- Siber suç
- Siber güvenlik
- Siber Güvenlik ve Altyapı Güvenlik Ajansı
- karanlık
- koyu Web
- veri
- Günler
- Fırsatlar
- Aralık
- Aralık
- azalmak
- Savunma
- geçersiz
- Delphi
- talepleri
- türev
- tarif edilen
- ayrıntılar
- vermedin
- farklı
- dağıtmak
- do
- dolar
- don
- eğitsel
- şifreleme
- yeterli
- özellikle
- kurulmuş
- Eter (ETH)
- örnek
- örnekler
- FBI
- FBI serbest bırakıldı
- Featuring
- az
- Firma
- İçin
- Forum
- forumları
- itibaren
- gerçek
- almak
- gidiş
- Tercih Etmenizin
- vardı
- sap
- Kolları
- Zor
- Var
- he
- sağlık
- yardım et
- okuyun
- daha yüksek
- onun
- kovan
- ev sahipliği yaptı
- Ne kadar
- Ancak
- HTTPS
- if
- in
- Dahil olmak üzere
- göstergeler
- Endüstri
- bilgi
- Altyapı
- ilk
- durumlarda
- kurumları
- Uluslararası
- içeren
- İsrailli
- IT
- jpg
- sadece
- anahtarlar
- dil
- çok
- Geç
- sonra
- sızıntı
- en az
- Muhtemelen
- kilitli
- yapılmış
- kötü amaçlı yazılım
- yönetilen
- Üreticiler
- çok
- tıbbi
- üye
- olabilir
- milyon
- milyon dolar
- çoklu
- neredeyse
- Nötr
- haber
- Kasım
- sayısız
- elde
- of
- kapalı
- sunulan
- teklif
- on
- bir Zamanlar
- ONE
- bir tek
- Operasyon
- or
- organizasyonlar
- orijinal
- Diğer
- Diğer
- tekrar
- geçmiş
- Platon
- Plato Veri Zekası
- PlatoVeri
- mümkün
- belki
- fiyat
- prosedürler
- Ürünler
- Programlama
- halka açık
- satın alındı
- alıcı
- sessizce
- Rampa
- Fidye
- fidye
- son
- serbest
- ün
- araştırma
- Araştırmacılar
- yorum
- Rusça
- s
- Adı geçen
- satış
- aynı
- diyor
- Sektörler
- güvenlik
- görünüyor
- görüldü
- Satıyor
- ciddi
- hizmet
- birkaç
- o
- işaret
- benzer
- yer
- So
- satılan
- çözüm
- biraz
- sofistike
- Kaynak
- kaynak kodu
- Belirtilen
- Suşlar
- başarılı
- Sistemler
- T
- taktik
- hedefler
- teknikleri
- Teknoloji
- teknoloji şirketleri
- söylemek
- o
- The
- Kaynak
- ve bazı Asya
- Onları
- kendilerini
- onlar
- işler
- düşünmek
- Bu
- bin
- tehdit
- tehdit aktörleri
- üç
- İçinden
- zaman
- için
- iki
- belirsiz
- us
- kullanım
- Kullanılmış
- kullanma
- Ve
- versiyon
- çok
- Kurban
- istemek
- oldu
- Yol..
- we
- ağ
- vardı
- Ne
- ne zaman
- hangi
- DSÖ
- neden
- irade
- pencereler
- won
- İş
- yazılı
- yıl
- zefirnet
- Zeppelin