ゼファーネットのロゴ

生成的データ インテリジェンス

サイバーセキュリティ

Zeppelin ランサムウェアのソースコードとビルダーがダークウェブで 500 ドルで販売

プラトン再発行
プラトン再発行

日付:

閲覧数: 169

ある脅威アクターが、Zeppelin のソース コードとクラックされたビルダーをわずか 500 ドルで販売しました。Zeppelin は、重要インフラ部門の米国企業や組織に対する過去の多数の攻撃に使用されたロシアのランサムウェア株です。

この売却は、多くの人がこのマルウェアをほとんど動作せず、機能しなくなったとみなしていた当時、Zeppelin をフィーチャーしたサービスとしてのランサムウェア (RaaS) の復活を示す可能性があります。

RAMP犯罪フォーラムでのファイアセール

イスラエルのサイバーセキュリティ企業KELAの研究者は2月下旬、「RET」というハンドル名を使用し、Zeppelin31のソースコードとビルダーをRAMPで販売している攻撃者を発見した。RAMPはロシアのサイバー犯罪フォーラムで、かつてはBabukランサムウェアの漏洩サイトなどをホストしていた。数日後の XNUMX 月 XNUMX 日、攻撃者は RAMP フォーラムのメンバーにマルウェアを販売したと主張しました。

ヴィクトリア・キビレビッチ KELA の脅威研究ディレクターは、攻撃者がどのように、またはどこから Zeppelin のコードとビルダーを入手したのかは不明であると述べています。 「売り手は、ビルダーを『見つけて』、それを解読して、Delphi で書かれたソースコードを盗み出したと述べています」と Kivilevich 氏は言います。 RETは、自分たちがマルウェアの作成者ではないことを明らかにしている、と彼女は付け加えた。

販売されていたコードは、元のバージョンの暗号化ルーチンの複数の弱点を修正したバージョンの Zeppelin のものだったようです。これらの弱点により、サイバーセキュリティ企業 Unit221B の研究者はツェッペリンの暗号化キーを解読し、ほぼ 22 年間にわたって被害組織がロックされたデータを復号化するのを密かに支援していました。ツェッペリン関連の RaaS 活動は、UnitXNUMXB のニュースを受けて減少 秘密の復号化ツール 2022年XNUMX月に公開されました。

Kivilevich 氏は、RET が販売のために提供したコードに関する唯一の情報はソース コードのスクリーンショットだけだったと述べています。その情報のみに基づいて、KELA がコードが本物かどうかを評価するのは難しいと彼女は言います。しかし、脅威アクター RET は、別のハンドルを使用して少なくとも 2 つの他のサイバー犯罪フォーラムで活動しており、そのうちの 1 つについてはある種の信頼性を確立しているようです。

「そのうちの1件では、彼は評判が良く、フォーラムの仲介サービスを通じて3件の取引が成功したことが確認されており、それが俳優の信頼性を高めている」とキビレヴィッチ氏は言う。

「KELA は、ウイルス対策バイパス ソリューションであると思われる製品の 1 つについて、購入者からの中立的なレビューも確認しました。レビューでは、Windows Defender と同様のウイルス対策ソフトウェアを無力化できるが、「深刻な」ウイルス対策ソフトウェアには機能しないと述べています。」

かつて強力だった脅威がクラッシュして炎上

Zeppelin は、少なくとも 2019 年に遡り、米国の標的に対する複数の攻撃で脅威アクターが使用したランサムウェアです。このマルウェアは、Delphi プログラミング言語で書かれたランサムウェアである VegaLocker の派生です。 2022 年 XNUMX 月、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) と FBI は、侵害の兆候と、ツェッペリン攻撃者がマルウェアを配布してシステムに感染させるために使用していた戦術、技術、手順 (TTP) の詳細を発表しました。

当時、CISAはこのマルウェアが、防衛請負業者、製造業者、教育機関、テクノロジー企業、特に医療・ヘルスケア業界の組織を含む米国の標的に対するいくつかの攻撃に使用されていると説明した。ツェッペリンが関与した攻撃における最初の身代金要求は、数千ドルから場合によっては100万ドルを超える場合もありました。

キビレヴィッチ氏は、ツェッペリンのソースコードを購入した人は、マルウェアコードを入手した際に他の人がしていることと同じことをする可能性が高いと述べています。

「過去に、さまざまな攻撃者が業務で他の系統のソースコードを再利用しているのを見てきました。そのため、購入者が同じ方法でコードを使用する可能性があります」と彼女は言います。 「例えば、流出したのは、 LockBit 3.0 ビルダーは Bl00dy によって採用され、LockBit 自体が使用していました コンティのソースコードが流出 最近の例の 1 つは、Hive のソース コードを購入したと主張したハンターズ インターナショナルです。」

Kivilevich 氏は、脅威アクター RET がなぜ Zeppelin のソース コードとビルダーをわずか 500 ドルで販売したのかはあまり明らかではないと述べています。 「それを伝えるのは難しいんです」と彼女は言う。 「ビルダーを解読してソースコードを入手できたことを考えると、おそらく彼は、それが高価格に見合うほど洗練されているとは考えなかったのでしょう。しかし、私たちはここで推測したくありません。」

スポット画像

最新のインテリジェンス

スポット画像

著作権 @ 2024 Plato Technologies Inc.