Zeppelin 勒索软件源代码和构建器在暗网上售价 500 美元

由柏拉图重新发布

关注： 0

一名威胁行为者仅以 500 美元的价格出售了 Zeppelin 的源代码和破解的构建器，Zeppelin 是一种俄罗斯勒索软件，过去曾多次针对关键基础设施领域的美国企业和组织发起攻击。

此次出售可能标志着以 Zeppelin 为特色的勒索软件即服务 (RaaS) 的复兴，当时许多人认为该恶意软件基本上无法运行且已失效。

RAMP 犯罪论坛上的减价销售

以色列网络安全公司 KELA 的研究人员于 2 月底发现一名威胁行为者使用“RET”句柄，在 RAMP 上出售 Zeppelin31 的源代码和构建器。RAMP 是一个俄罗斯网络犯罪论坛，该论坛曾经托管过 Babuk 勒索软件的泄露网站。几天后，即 XNUMX 月 XNUMX 日，威胁行为者声称已将恶意软件出售给 RAMP 论坛成员。

维多利亚·基维列维奇， KELA 威胁研究总监表示，目前尚不清楚威胁行为者如何或从何处获得 Zeppelin 的代码和构建器。 “卖家明确表示，他们‘遇到’了该构建器并破解了它，从而泄露了用 Delphi 编写的源代码，”基维列维奇说。她补充道，RET 已明确表示他们不是该恶意软件的作者。

出售的代码似乎是 Zeppelin 版本的代码，该版本纠正了原始版本加密例程中的多个弱点。这些弱点使得网络安全公司 Unit221B 的研究人员能够破解 Zeppelin 的加密密钥，并在近两年的时间里悄悄帮助受害者组织解密锁定的数据。在 Unit22B 的消息传出后，Zeppelin 相关的 RaaS 活动有所下降秘密解密工具于 2022 年 XNUMX 月公开。

Kivilevich 表示，RET 出售的代码的唯一信息是源代码的屏幕截图。她说，仅根据这些信息，KELA 很难评估该代码是否真实。然而，威胁行为者 RET 已经使用不同的账号活跃在至少两个其他网络犯罪论坛上，并且似乎已经在其中一个论坛上建立了某种可信度。

“在其中一项交易中，他拥有良好的声誉，并且通过论坛中间人服务确认了三项成功交易，这为演员增加了一些可信度，”基维列维奇说。

“KELA 还看到了一位买家对其产品的中立评论，该产品似乎是一种防病毒绕过解决方案。该评论称它能够中和类似于 Windows Defender 的防病毒软件，但它不适用于‘严重’的防病毒软件，”她补充道。

曾经强大的威胁崩溃并烧伤

Zeppelin 是勒索软件，威胁行为者至少可以追溯到 2019 年，曾在对美国目标的多次攻击中使用过。该恶意软件是 VegaLocker 的衍生品，VegaLocker 是一种用 Delphi 编程语言编写的勒索软件。 2022 年 XNUMX 月，美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了 Zeppelin 攻击者用于传播恶意软件和感染系统的妥协指标以及策略、技术和程序 (TTP) 的详细信息。

当时，CISA 称该恶意软件被用于针对美国目标的多次攻击，包括国防承包商、制造商、教育机构、技术公司，尤其是医疗和保健行业的组织。在涉及 Zeppelin 的攻击中，最初的赎金要求从几千美元到有时超过一百万美元不等。

基维列维奇表示，Zeppelin 源代码的购买者在获得恶意软件代码后很可能会做其他人所做的事情。

“过去，我们看到不同的参与者在其运营中重复使用其他菌株的源代码，因此买家可能会以相同的方式使用代码，”她说。 “例如，泄露的锁比特 3.0 构建器被Bl00dy采用，LockBit自己正在使用 Conti源代码泄露他们从 BlackMatter 购买了代码，最近的例子之一是 Hunters International，他们声称购买了 Hive 源代码。”

Kivilevich 表示，目前还不清楚为什么威胁发起者 RET 会以 500 美元的价格出售 Zeppelin 的源代码和构建器。 “很难说，”她说。 “可能他认为它不够复杂，无法支付更高的价格——考虑到他在破解构建器后设法获得了源代码。但我们不想在这里猜测。”