Zeppelin Ransomware Source Code & Builder viene venduto per $ 500 sul Dark Web

Un hacker ha venduto per soli 500 dollari il codice sorgente e un builder crackato per Zeppelin, un ceppo di ransomware russo utilizzato in passato in numerosi attacchi contro aziende e organizzazioni statunitensi nei settori delle infrastrutture critiche.

La vendita potrebbe segnalare la rinascita di un ransomware-as-a-service (RaaS) con Zeppelin, in un momento in cui molti avevano considerato il malware in gran parte non operativo e defunto.

Svendita sul RAMP Crime Forum

I ricercatori della società di sicurezza israeliana KELA alla fine di dicembre hanno individuato un hacker che utilizzava l’handle “RET” offrendo il codice sorgente e il builder di Zeppelin2 in vendita su RAMP, un forum russo sulla criminalità informatica che, tra le altre cose, un tempo ospitava il sito di fuga del ransomware Babuk. Un paio di giorni dopo, il 31 dicembre, l'autore della minaccia ha affermato di aver venduto il malware a un membro del forum RAMP.

Vittoria Kivilevich, direttore della ricerca sulle minacce presso KELA, afferma che non è chiaro come o da dove l'autore della minaccia possa aver ottenuto il codice e il costruttore dello Zeppelin. "Il venditore ha specificato di essersi 'imbattuto' nel builder e di averlo craccato per estrarre il codice sorgente scritto in Delphi", afferma Kivilevich. RET ha chiarito di non essere l'autore del malware, aggiunge.

Sembra che il codice in vendita appartenesse a una versione dello Zeppelin che correggeva numerosi punti deboli nelle routine di crittografia della versione originale. Tali punti deboli hanno consentito ai ricercatori della società di sicurezza informatica Unit221B di decifrare le chiavi di crittografia dello Zeppelin e, per quasi due anni, di aiutare silenziosamente le organizzazioni vittime a decrittografare i dati bloccati. L'attività RaaS relativa a Zeppelin è diminuita dopo la notizia di Unit22B strumento di decrittazione segreto è diventato pubblico nel novembre 2022.

Kivilevich afferma che l'unica informazione sul codice offerto da RET in vendita era uno screenshot del codice sorgente. Basandosi solo su queste informazioni, è difficile per KELA valutare se il codice è autentico o meno, afferma. Tuttavia, l'autore della minaccia RET è stato attivo su almeno altri due forum di criminalità informatica utilizzando nomi diversi e sembra aver acquisito una sorta di credibilità su uno di essi.

"In uno di questi, ha una buona reputazione e tre accordi di successo confermati attraverso il servizio di intermediari del forum, il che aggiunge una certa credibilità all'attore", afferma Kivilevich.

“KELA ha anche visto una recensione neutrale da parte di un acquirente di uno dei suoi prodotti, che sembra essere una soluzione per bypassare l'antivirus. La revisione afferma che è in grado di neutralizzare un antivirus simile a Windows Defender, ma non funzionerà con antivirus “seri”," aggiunge.

Una minaccia un tempo potente si schianta e brucia

Zeppelin è un ransomware che gli autori delle minacce hanno utilizzato in molteplici attacchi contro obiettivi statunitensi risalenti almeno al 2019. Il malware è un derivato di VegaLocker, un ransomware scritto nel linguaggio di programmazione Delphi. Nell'agosto 2022, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti e l'FBI hanno pubblicato indicatori di compromissione e dettagli su tattiche, tecniche e procedure (TTP) che gli attori dello Zeppelin stavano utilizzando per distribuire il malware e infettare i sistemi.

All'epoca, la CISA descrisse il malware come utilizzato in diversi attacchi contro obiettivi statunitensi, tra cui appaltatori della difesa, produttori, istituti scolastici, aziende tecnologiche e soprattutto organizzazioni del settore medico e sanitario. Le richieste iniziali di riscatto negli attacchi che hanno coinvolto lo Zeppelin variavano da poche migliaia di dollari a oltre un milione di dollari in alcuni casi.

Kivilevich afferma che è probabile che l'acquirente del codice sorgente dello Zeppelin faccia quello che fanno gli altri quando hanno acquisito il codice malware.

"In passato, abbiamo visto diversi attori riutilizzare il codice sorgente di altri ceppi nelle loro operazioni, quindi è possibile che l'acquirente utilizzi il codice nello stesso modo", afferma. “Ad esempio, quello trapelato LockBit 3.0 builder è stato adottato da Bl00dy, gli stessi LockBit stavano utilizzando trapelato il codice sorgente di Conti e il codice che hanno acquistato da BlackMatter, e uno degli esempi recenti è Hunters International che ha affermato di aver acquistato il codice sorgente di Hive.

Kivilevich afferma che non è molto chiaro il motivo per cui l'autore della minaccia RET potrebbe aver venduto il codice sorgente e il builder dello Zeppelin per soli 500 dollari. "Difficile dirlo", dice. "Forse non pensava che fosse abbastanza sofisticato per un prezzo più alto, considerando che è riuscito a ottenere il codice sorgente dopo aver crackato il builder. Ma non vogliamo fare speculazioni qui.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web