Zeppelin Ransomware سورس کوڈ اور بلڈر ڈارک ویب پر $500 میں فروخت کرتا ہے۔

Zeppelin Ransomware سورس کوڈ اور بلڈر ڈارک ویب پر $500 میں فروخت کرتا ہے۔

ٹائم سٹیمپ: 5 جنوری 2024 4:50 PM
ماخذ نوڈ: 3049430

ایک دھمکی آمیز اداکار نے ماخذ کوڈ صرف $500 میں فروخت کیا ہے اور Zeppelin کے لیے ایک کریک بلڈر، ایک روسی رینسم ویئر اسٹرین جو ماضی میں بنیادی ڈھانچے کے اہم شعبوں میں امریکی کاروباری اداروں اور تنظیموں پر متعدد حملوں میں استعمال ہوتا ہے۔

یہ فروخت رینسم ویئر-ایس-اے-سروس (RaaS) کی بحالی کا اشارہ دے سکتی ہے جس میں Zeppelin کی خاصیت ہے، ایسے وقت میں جب بہت سے لوگوں نے میلویئر کو بڑے پیمانے پر غیر فعال اور ناکارہ قرار دے دیا تھا۔

RAMP کرائم فورم پر فائر سیل

اسرائیلی سائبرسیکیوریٹی فرم KELA کے محققین نے دسمبر کے آخر میں "RET" ہینڈل کا استعمال کرتے ہوئے ایک دھمکی آمیز اداکار کو دیکھا جس نے RAMP پر فروخت کے لیے Zeppelin2 کا سورس کوڈ اور بلڈر پیش کیا، جو کہ دوسری چیزوں کے علاوہ، ایک بار بابوک رینسم ویئر کی لیک سائٹ کی میزبانی کرتا تھا۔ کچھ دن بعد، 31 دسمبر کو، دھمکی آمیز اداکار نے RAMP فورم کے ایک رکن کو میلویئر فروخت کرنے کا دعویٰ کیا۔

وکٹوریہ کیویلیوچ، KELA میں دھمکیوں کی تحقیق کے ڈائریکٹر کا کہنا ہے کہ یہ واضح نہیں ہے کہ دھمکی آمیز اداکار نے Zeppelin کے لیے کوڈ اور بلڈر کیسے، یا کہاں سے حاصل کیا ہوگا۔ "بیچنے والے نے وضاحت کی ہے کہ وہ بلڈر سے 'مل گئے' اور ڈیلفی میں لکھے گئے سورس کوڈ کو نکالنے کے لیے اسے توڑ دیا،" کیویلیوچ کہتے ہیں۔ انہوں نے مزید کہا کہ RET نے واضح کر دیا ہے کہ وہ میلویئر کے مصنف نہیں ہیں۔

ایسا لگتا ہے کہ جو کوڈ فروخت پر تھا وہ Zeppelin کے ورژن کے لیے تھا جس نے اصل ورژن کے خفیہ کاری کے معمولات میں متعدد کمزوریوں کو درست کیا تھا۔ ان کمزوریوں نے سائبرسیکیوریٹی فرم Unit221B کے محققین کو Zeppelin کی انکرپشن کیز کو کریک کرنے کی اجازت دی تھی اور، تقریباً دو سالوں تک، خاموشی سے متاثرہ تنظیموں کو لاک ڈیٹا کو ڈکرپٹ کرنے میں مدد فراہم کی تھی۔ یونٹ 22 بی کی خبروں کے بعد Zeppelin سے متعلق RaaS سرگرمی میں کمی آئی خفیہ ڈکرپشن ٹول نومبر 2022 میں عام ہوا۔

Kivilevich کا کہنا ہے کہ کوڈ پر صرف معلومات جو RET نے فروخت کے لیے پیش کی تھی وہ سورس کوڈ کا اسکرین شاٹ تھا۔ وہ کہتی ہیں کہ صرف اس معلومات کی بنیاد پر، KELA کے لیے یہ اندازہ لگانا مشکل ہے کہ آیا کوڈ حقیقی ہے یا نہیں۔ تاہم، دھمکی آمیز اداکار RET مختلف ہینڈلز کا استعمال کرتے ہوئے کم از کم دو دیگر سائبر کرائم فورمز پر سرگرم رہا ہے اور ایسا لگتا ہے کہ اس نے ان میں سے ایک پر کسی قسم کی ساکھ قائم کی ہے۔

"ان میں سے ایک پر، اس کی اچھی شہرت ہے، اور فورم مڈل مین سروس کے ذریعے تین کامیاب معاہدوں کی تصدیق کی گئی ہے، جس سے اداکار کے لیے کچھ ساکھ بڑھ جاتی ہے،" Kivilevich کہتے ہیں۔

"KELA نے اپنی مصنوعات میں سے ایک کے خریدار کی طرف سے ایک غیر جانبدار جائزہ بھی دیکھا ہے، جو بظاہر ایک اینٹی وائرس بائی پاس حل ہے۔ جائزے میں کہا گیا ہے کہ یہ ونڈوز ڈیفنڈر کی طرح ایک اینٹی وائرس کو بے اثر کرنے کے قابل ہے، لیکن یہ 'سنگین' اینٹی وائرس پر کام نہیں کرے گا،‘‘ وہ مزید کہتی ہیں۔

ایک بار طاقتور خطرہ کریش اور جلنا

Zeppelin ransomware ہے جسے دھمکی آمیز اداکاروں نے کم از کم 2019 تک امریکی اہداف پر متعدد حملوں میں استعمال کیا ہے۔ میلویئر VegaLocker سے مشتق ہے، جو ڈیلفی پروگرامنگ زبان میں لکھا گیا ایک رینسم ویئر ہے۔ اگست 2022 میں، یو ایس سائبر سیکیورٹی اینڈ انفراسٹرکچر سیکیورٹی ایجنسی (CISA) اور FBI نے ان حکمت عملیوں، تکنیکوں اور طریقہ کار (TTPs) پر سمجھوتہ کے اشارے اور تفصیلات جاری کیں جنہیں Zeppelin اداکار میلویئر تقسیم کرنے اور نظام کو متاثر کرنے کے لیے استعمال کر رہے تھے۔

اس وقت، CISA نے مالویئر کو دفاعی ٹھیکیداروں، صنعت کاروں، تعلیمی اداروں، ٹیکنالوجی کمپنیوں اور خاص طور پر طبی اور صحت کی دیکھ بھال کی صنعتوں میں تنظیموں سمیت امریکی اہداف پر کئی حملوں میں استعمال ہونے کے طور پر بیان کیا۔ Zeppelin کے حملوں میں ابتدائی تاوان کے مطالبات چند ہزار ڈالر سے لے کر ایک ملین ڈالر سے زیادہ تک تھے۔

Kivilevich کا کہنا ہے کہ امکان ہے کہ Zeppelin سورس کوڈ کا خریدار وہی کرے گا جو دوسروں کے پاس ہے جب اس نے میلویئر کوڈ حاصل کر لیا ہے۔

وہ کہتی ہیں، "ماضی میں، ہم نے مختلف اداکاروں کو اپنے کاموں میں دیگر تناؤ کے سورس کوڈ کو دوبارہ استعمال کرتے ہوئے دیکھا ہے، اس لیے یہ ممکن ہے کہ خریدار بھی اسی طرح کوڈ کو استعمال کرے،" وہ کہتی ہیں۔ "مثال کے طور پر، لیک ہو گیا۔ لاک بٹ 3.0 بلڈر کو Bl00dy نے اپنایا تھا، لاک بٹ خود استعمال کر رہے تھے۔ کونٹی سورس کوڈ لیک ہوا۔ اور کوڈ انہوں نے بلیک میٹر سے خریدا، اور حالیہ مثالوں میں سے ایک ہنٹرز انٹرنیشنل ہے جس نے Hive سورس کوڈ خریدنے کا دعویٰ کیا۔

Kivilevich کا کہنا ہے کہ یہ بہت واضح نہیں ہے کہ کیوں دھمکی آمیز اداکار RET نے Zeppelin کے سورس کوڈ اور بلڈر کو صرف $500 میں فروخت کیا ہو گا۔ "بتانا مشکل ہے،" وہ کہتی ہیں۔ "ممکنہ طور پر اس نے نہیں سوچا کہ یہ زیادہ قیمت کے لیے کافی نفیس ہے - اس بات پر غور کرتے ہوئے کہ وہ بلڈر کو کریک کرنے کے بعد سورس کوڈ حاصل کرنے میں کامیاب ہو گیا۔ لیکن ہم یہاں قیاس آرائیاں نہیں کرنا چاہتے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا