Kode Sumber & Pembuat Ransomware Zeppelin Dijual seharga $500 di Web Gelap

Seorang pelaku ancaman telah menjual kode sumber dan pembuat crack untuk Zeppelin hanya dengan $500, jenis ransomware Rusia yang pernah digunakan dalam berbagai serangan terhadap bisnis dan organisasi AS di sektor infrastruktur penting di masa lalu.

Penjualan tersebut dapat menandakan kebangkitan ransomware-as-a-service (RaaS) yang menampilkan Zeppelin, pada saat banyak orang menganggap malware tersebut sebagian besar tidak beroperasi dan tidak berfungsi.

Penjualan Kebakaran di Forum Kejahatan RAMP

Para peneliti di perusahaan keamanan siber Israel KELA pada akhir bulan Desember melihat pelaku ancaman menggunakan nama “RET” yang menawarkan kode sumber dan pembuat Zeppelin2 untuk dijual di RAMP, sebuah forum kejahatan dunia maya Rusia yang, antara lain, pernah menjadi tuan rumah situs kebocoran ransomware Babuk. Beberapa hari kemudian, pada tanggal 31 Desember, pelaku ancaman mengaku telah menjual malware tersebut ke anggota forum RAMP.

Victoria Kivilevich, direktur penelitian ancaman di KELA, mengatakan tidak jelas bagaimana, atau dari mana, pelaku ancaman mendapatkan kode dan pembuat Zeppelin. “Penjual telah menyebutkan bahwa mereka 'menemukan' pembuatnya dan memecahkannya untuk mengambil kode sumber yang ditulis dalam Delphi,” kata Kivilevich. RET telah menjelaskan bahwa mereka bukanlah pembuat malware tersebut, tambahnya.

Kode yang dijual tampaknya untuk versi Zeppelin yang memperbaiki beberapa kelemahan dalam rutinitas enkripsi versi aslinya. Kelemahan tersebut memungkinkan para peneliti dari perusahaan keamanan siber Unit221B untuk memecahkan kunci enkripsi Zeppelin dan, selama hampir dua tahun, secara diam-diam membantu organisasi korban mendekripsi data yang terkunci. Aktivitas RaaS terkait Zeppelin menurun setelah berita tentang Unit22B alat dekripsi rahasia menjadi publik pada November 2022.

Kivilevich mengatakan satu-satunya informasi tentang kode yang ditawarkan RET untuk dijual adalah tangkapan layar dari kode sumbernya. Berdasarkan informasi tersebut saja, sulit bagi KELA untuk menilai apakah kode tersebut asli atau tidak, katanya. Namun, pelaku ancaman RET telah aktif di setidaknya dua forum kejahatan dunia maya lainnya dengan menggunakan nama yang berbeda dan tampaknya telah membangun kredibilitas di salah satu forum tersebut.

“Salah satunya, dia memiliki reputasi yang baik, dan tiga mengonfirmasi kesepakatan yang berhasil melalui layanan perantara forum, yang menambah kredibilitas aktor tersebut,” kata Kivilevich.

“KELA juga telah melihat review netral dari pembeli salah satu produknya, yang sepertinya merupakan solusi bypass antivirus. Ulasannya menyatakan bahwa ia mampu menetralisir antivirus yang mirip dengan Windows Defender, namun tidak akan berfungsi pada antivirus yang ‘serius’,” tambahnya.

Ancaman yang Sekali Ampuh Hancur & Terbakar

Zeppelin adalah ransomware yang digunakan pelaku ancaman dalam berbagai serangan terhadap target AS setidaknya sejak tahun 2019. Malware ini merupakan turunan dari VegaLocker, ransomware yang ditulis dalam bahasa pemrograman Delphi. Pada bulan Agustus 2022, Badan Keamanan Siber dan Infrastruktur AS (CISA) dan FBI merilis indikator kompromi dan rincian taktik, teknik, dan prosedur (TTP) yang digunakan pelaku Zeppelin untuk mendistribusikan malware dan menginfeksi sistem.

Pada saat itu, CISA menggambarkan malware tersebut digunakan dalam beberapa serangan terhadap sasaran AS termasuk kontraktor pertahanan, produsen, lembaga pendidikan, perusahaan teknologi, dan khususnya organisasi di industri medis dan perawatan kesehatan. Tuntutan tebusan awal dalam serangan yang melibatkan Zeppelin berkisar antara beberapa ribu dolar hingga lebih dari satu juta dolar dalam beberapa kasus.

Kivilevich mengatakan kemungkinan besar pembeli kode sumber Zeppelin akan melakukan apa yang dilakukan orang lain ketika mereka memperoleh kode malware.

“Di masa lalu, kami telah melihat berbagai pelaku menggunakan kembali kode sumber dari strain lain dalam operasi mereka, sehingga ada kemungkinan pembeli akan menggunakan kode tersebut dengan cara yang sama,” katanya. “Misalnya yang bocor Lockbit 3.0 pembangun diadopsi oleh Bl00dy, LockBit sendiri menggunakan membocorkan kode sumber Conti dan kode yang mereka beli dari BlackMatter, dan salah satu contoh terbarunya adalah Hunters International yang mengklaim telah membeli kode sumber Hive.”

Kivilevich mengatakan tidak begitu jelas mengapa pelaku ancaman RET menjual kode sumber dan pembuat Zeppelin hanya dengan $500. “Sulit untuk mengatakannya,” katanya. “Mungkin dia tidak berpikir itu cukup canggih dengan harga yang lebih tinggi — mengingat dia berhasil mendapatkan kode sumbernya setelah memecahkan pembuatnya. Tapi kami tidak ingin berspekulasi di sini.”

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web