Un acteur malveillant a vendu pour seulement 500 dollars le code source et un constructeur piraté de Zeppelin, une souche de ransomware russe utilisée dans de nombreuses attaques contre des entreprises et des organisations américaines dans des secteurs d'infrastructures critiques dans le passé.
La vente pourrait marquer la renaissance d'un ransomware-as-a-service (RaaS) mettant en vedette Zeppelin, à une époque où beaucoup avaient considéré le malware comme largement non opérationnel et défunt.
Vente de feu sur le forum RAMP Crime
Fin décembre, des chercheurs de la société israélienne de cybersécurité KELA ont repéré un acteur menaçant utilisant le pseudo « RET » proposant le code source et le constructeur de Zeppelin2 à la vente sur RAMP, un forum russe sur la cybercriminalité qui, entre autres, hébergeait autrefois le site de fuite du ransomware Babuk. Quelques jours plus tard, le 31 décembre, l'auteur de la menace a affirmé avoir vendu le logiciel malveillant à un membre du forum RAMP.
Victoria Kivilevich, directeur de la recherche sur les menaces chez KELA, affirme qu'il n'est pas clair comment ni d'où l'auteur de la menace a pu obtenir le code et le constructeur de Zeppelin. "Le vendeur a précisé qu'il était tombé sur le constructeur et l'avait craqué pour exfiltrer le code source écrit en Delphi", explique Kivilevich. RET a clairement indiqué qu'il n'était pas l'auteur du malware, ajoute-t-elle.
Le code en vente semble concerner une version de Zeppelin qui corrigeait plusieurs faiblesses dans les routines de cryptage de la version originale. Ces faiblesses ont permis aux chercheurs de la société de cybersécurité Unit221B de déchiffrer les clés de chiffrement de Zeppelin et, pendant près de deux ans, d’aider discrètement les organisations victimes à décrypter les données verrouillées. L’activité RaaS liée à Zeppelin a diminué après l’annonce de Unit22B outil de décryptage secret est devenu public en novembre 2022.
Kivilevich affirme que la seule information sur le code proposé à la vente par RET était une capture d'écran du code source. Sur la base de ces seules informations, il est difficile pour KELA d'évaluer si le code est authentique ou non, dit-elle. Cependant, l'acteur menaçant RET a été actif sur au moins deux autres forums de cybercriminalité en utilisant des identifiants différents et semble avoir acquis une certaine crédibilité sur l'un d'entre eux.
"Sur l'un d'eux, il a une bonne réputation et trois contrats réussis confirmés via le service intermédiaire du forum, ce qui ajoute une certaine crédibilité à l'acteur", a déclaré Kivilevich.
« KELA a également vu un avis neutre d'un acheteur d'un de ses produits, qui semble être une solution de contournement antivirus. L’analyse indique qu’il est capable de neutraliser un antivirus similaire à Windows Defender, mais qu’il ne fonctionnera pas sur un antivirus « sérieux » », ajoute-t-elle.
Une menace autrefois puissante
Zeppelin est un ransomware que les acteurs malveillants ont utilisé dans plusieurs attaques contre des cibles américaines depuis au moins 2019. Le malware est un dérivé de VegaLocker, un ransomware écrit dans le langage de programmation Delphi. En août 2022, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le FBI ont publié des indicateurs de compromission et des détails sur les tactiques, techniques et procédures (TTP) que les acteurs de Zeppelin utilisaient pour distribuer les logiciels malveillants et infecter les systèmes.
À l’époque, CISA décrivait le malware comme étant utilisé dans plusieurs attaques contre des cibles américaines, notamment des sous-traitants de la défense, des fabricants, des établissements d’enseignement, des entreprises technologiques et en particulier des organisations des secteurs médical et de la santé. Les demandes initiales de rançon pour les attaques impliquant Zeppelin allaient de quelques milliers de dollars à plus d'un million de dollars dans certains cas.
Kivilevich dit qu'il est probable que l'acheteur du code source du Zeppelin fera ce que les autres font lorsqu'ils ont acquis le code du malware.
« Dans le passé, nous avons vu différents acteurs réutiliser le code source d’autres souches dans leurs opérations, il est donc possible que l’acheteur utilise le code de la même manière », explique-t-elle. « Par exemple, la fuite LockBit 3.0 Le constructeur a été adopté par Bl00dy, LockBit lui-même utilisait fuite du code source de Conti et le code qu'ils ont acheté auprès de BlackMatter, et l'un des exemples récents est Hunters International qui prétend avoir acheté le code source de Hive.
Kivilevich dit qu'il n'est pas très clair pourquoi l'acteur menaçant RET aurait pu vendre le code source et le constructeur de Zeppelin pour seulement 500 $. "Difficile à dire", dit-elle. « Peut-être qu’il ne pensait pas que c’était assez sophistiqué pour un prix plus élevé – étant donné qu’il a réussi à obtenir le code source après avoir piraté le constructeur. Mais nous ne voulons pas spéculer ici.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
