Зловмисник продав лише за 500 доларів вихідний код і зламаний конструктор для Zeppelin, російського штаму програми-вимагача, який використовувався в численних атаках на американські підприємства та організації в секторах критичної інфраструктури в минулому.
Продаж може свідчити про відродження програми-вимагача як послуги (RaaS) із Zeppelin у той час, коли багато хто списував це шкідливе програмне забезпечення як здебільшого непрацююче та недіюче.
Пожежний розпродаж на злочинному форумі RAMP
Дослідники ізраїльської фірми з кібербезпеки KELA наприкінці грудня помітили загрозу, яка використовувала дескриптор «RET», пропонуючи вихідний код і конструктор для Zeppelin2 для продажу на RAMP, російському форумі кіберзлочинності, який, серед іншого, колись містив сайт витоку програм-вимагачів Babuk. Через пару днів, 31 грудня, зловмисник заявив, що продав зловмисне програмне забезпечення учаснику форуму RAMP.
Вікторія Ківілевич, Директор відділу дослідження загроз у KELA каже, що незрозуміло, як і звідки загрозливий актор міг отримати код і конструктор для Zeppelin. «Продавець зазначив, що вони «натрапили» на конструктор і зламали його, щоб отримати вихідний код, написаний у Delphi», — каже Ківілевич. RET ясно дав зрозуміти, що вони не є автором шкідливого програмного забезпечення, додає вона.
Схоже, код, який продавався, був для версії Zeppelin, яка виправила численні недоліки в процедурах шифрування оригінальної версії. Ці недоліки дозволили дослідникам з фірми з кібербезпеки Unit221B зламати ключі шифрування Zeppelin і протягом майже двох років тихо допомагати організаціям-жертвам розшифрувати заблоковані дані. Активність RaaS, пов’язана з Zeppelin, знизилася після новин про Unit22B секретний засіб дешифрування став публічним у листопаді 2022 року.
Ківілевич каже, що єдиною інформацією про код, який RET виставив на продаж, був скріншот вихідного коду. За її словами, ґрунтуючись лише на цій інформації, KELA важко визначити, справжній код чи ні. Однак загрозливий актор RET був активним принаймні на двох інших форумах кіберзлочинності, використовуючи різні ручки, і, схоже, ствердив певну довіру до одного з них.
«На одному з них він має гарну репутацію, а також три підтверджені успішні угоди через службу посередників форуму, що додає довіри до актора», — каже Ківілевич.
«KELA також побачила нейтральний відгук від покупця одного з його продуктів, який, здається, є антивірусним обхідним рішенням. В огляді сказано, що він здатний нейтралізувати антивірус, схожий на Windows Defender, але він не працюватиме на «серйозному» антивірусі», – додає вона.
Колись потужна загроза виходить з ладу та згорає
Zeppelin — це програма-вимагач, яку зловмисники використовували в численних атаках на об’єкти в США принаймні з 2019 року. Зловмисне програмне забезпечення є похідним від VegaLocker, програми-вимагача, написаної на мові програмування Delphi. У серпні 2022 року Агентство з кібербезпеки та безпеки інфраструктури США (CISA) і ФБР оприлюднили індикатори компрометації та детальну інформацію про тактику, методи та процедури (TTP), які учасники Zeppelin використовували для розповсюдження шкідливого програмного забезпечення та зараження систем.
Тоді CISA описала, що зловмисне програмне забезпечення використовувалося в кількох атаках на об’єкти США, включаючи оборонних підрядників, виробників, навчальні заклади, технологічні компанії та, особливо, організації в галузі медицини та охорони здоров’я. Початкові вимоги викупу за напади за участю Zeppelin коливалися від кількох тисяч доларів до понад мільйона доларів у деяких випадках.
Ківілевич каже, що, швидше за все, покупець вихідного коду Zeppelin зробить те, що роблять інші, коли вони придбають код шкідливого ПЗ.
«У минулому ми бачили, як різні учасники повторно використовували вихідний код інших штамів у своїх операціях, тому цілком можливо, що покупець використовуватиме код таким же чином», — каже вона. «Наприклад, витік LockBit 3.0 конструктор був прийнятий Bl00dy, LockBit використовували самі витік вихідного коду Conti і код, який вони придбали у BlackMatter, і одним із останніх прикладів є компанія Hunters International, яка стверджувала, що придбала вихідний код Hive».
Ківілевич каже, що не зовсім зрозуміло, чому загрозливий актор RET міг продати вихідний код і конструктор Zeppelin всього за 500 доларів. «Важко сказати», — каже вона. «Можливо, він не вважав, що це достатньо складно за вищу ціну — враховуючи, що йому вдалося отримати вихідний код після злому конструктора. Але ми не хочемо тут спекулювати».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
- : має
- :є
- : ні
- :де
- 2019
- 2022
- 31
- a
- Здатний
- придбаний
- через
- активний
- діяльність
- актори
- Додає
- прийнята
- після
- агентство
- дозволено
- тільки
- Також
- серед
- an
- та
- та інфраструктури
- антивірус
- з'являється
- ЕСТЬ
- AS
- оцінити
- At
- нападки
- Серпня
- автор
- назад
- заснований
- BE
- стали
- було
- буття
- будівельник
- підприємства
- але
- ПОКУПЕЦЬ..
- by
- обходити
- прийшов
- СНД
- стверджував,
- ясно
- код
- Компанії
- компроміс
- Підтверджено
- беручи до уваги
- Conti
- підрядники
- виправлений
- може
- Пара
- тріщина
- тріщини
- Розтріскування
- правдоподібність
- Злочин
- критичний
- Критична інфраструктура
- кіберзлочинності
- Кібербезпека
- Агентство з питань кібербезпеки та безпеки інфраструктури
- темно
- Dark Web
- дані
- Днів
- Пропозиції
- грудня
- Грудень
- Розшифрувати
- оборони
- неіснуючий
- Delphi
- запити
- похідної
- описаний
- деталі
- А не було
- різний
- поширювати
- do
- доларів
- Дон
- освітній
- шифрування
- досить
- особливо
- встановлений
- Ефір (ETH)
- приклад
- Приклади
- fbi
- ФБР звільнили
- Показуючи
- кілька
- Фірма
- для
- форум
- форуми
- від
- справжній
- отримати
- буде
- добре
- було
- обробляти
- Ручки
- Жорсткий
- Мати
- he
- охорона здоров'я
- допомога
- тут
- вище
- його
- Вулик
- відбувся
- Як
- Однак
- HTTPS
- if
- in
- У тому числі
- індикатори
- промисловості
- інформація
- Інфраструктура
- початковий
- випадки
- установи
- Міжнародне покриття
- за участю
- Ізраїльський
- IT
- JPG
- просто
- ключі
- мова
- в значній мірі
- Пізно
- пізніше
- витік
- найменш
- Ймовірно
- замкнений
- made
- шкідливих програм
- вдалося
- Виробники
- багато
- медичний
- член
- може бути
- мільйона
- мільйонів доларів
- множинний
- майже
- Нейтральний
- новини
- Листопад
- численний
- отриманий
- of
- від
- запропонований
- пропонує
- on
- один раз
- ONE
- тільки
- операції
- or
- організації
- оригінал
- Інше
- інші
- над
- Минуле
- plato
- Інформація про дані Платона
- PlatoData
- це можливо
- можливо
- price
- Процедури
- Продукти
- Програмування
- громадськість
- придбано
- покупець
- тихо
- Рамп
- Викуп
- вимагачів
- останній
- випущений
- репутація
- дослідження
- Дослідники
- огляд
- російський
- s
- Зазначений
- sale
- то ж
- говорить
- Сектори
- безпеку
- Здається,
- бачив
- Продає
- серйозний
- обслуговування
- кілька
- вона
- Сигнал
- аналогічний
- сайт
- So
- проданий
- рішення
- деякі
- складний
- Source
- вихідні
- зазначений
- Штамми
- успішний
- Systems
- T
- тактика
- цілі
- методи
- Технологія
- технологічні компанії
- сказати
- Що
- Команда
- Джерело
- їх
- Їх
- самі
- вони
- речі
- думати
- ті
- тисяча
- загроза
- актори загроз
- три
- через
- час
- до
- два
- незрозуміло
- us
- використання
- використовуваний
- використання
- Ve
- версія
- дуже
- Жертва
- хотіти
- було
- шлях..
- we
- Web
- були
- Що
- коли
- який
- ВООЗ
- чому
- волі
- windows
- Виграв
- Work
- письмовий
- років
- зефірнет
- цепелін
