위협 행위자가 과거에 중요한 인프라 부문에서 미국 기업과 조직을 대상으로 한 수많은 공격에 사용된 러시아 랜섬웨어 변종인 Zeppelin의 소스 코드와 크랙된 빌더를 단 500달러에 판매했습니다.
이번 판매는 Zeppelin을 특징으로 하는 RaaS(Ransomware-as-a-Service)가 부활했음을 의미할 수 있습니다. 당시 많은 사람들이 악성 코드가 작동하지 않고 존재하지 않는 것으로 간주했습니다.
RAMP 범죄 포럼의 총격 세일
2월 말 이스라엘 사이버 보안 회사 KELA의 연구원들은 한때 Babuk 랜섬웨어의 유출 사이트를 호스팅했던 러시아 사이버 범죄 포럼인 RAMP에서 판매용으로 Zeppelin31의 소스 코드와 빌더를 제공하는 "RET" 핸들을 사용하는 위협 행위자를 발견했습니다. 며칠 후인 XNUMX월 XNUMX일, 위협 행위자는 RAMP 포럼 회원에게 악성 코드를 판매했다고 주장했습니다.
빅토리아 키빌레비치, KELA의 위협 연구 책임자는 위협 행위자가 Zeppelin의 코드와 빌더를 어떻게, 어디서 얻었는지 확실하지 않다고 말했습니다. Kivilevich는 "판매자는 빌더를 '찾아서' 이를 크랙하여 Delphi로 작성된 소스 코드를 유출했다고 명시했습니다."라고 말했습니다. RET는 자신들이 악성코드의 작성자가 아니라는 사실을 분명히 밝혔습니다.
판매된 코드는 원래 버전 암호화 루틴의 여러 약점을 수정한 Zeppelin 버전용인 것으로 보입니다. 이러한 약점으로 인해 사이버 보안 회사인 Unit221B의 연구원들은 Zeppelin의 암호화 키를 해독하고 거의 22년 동안 피해자 조직이 잠긴 데이터를 해독하도록 조용히 도왔습니다. UnitXNUMXB 소식 이후 Zeppelin 관련 RaaS 활동 감소 비밀 해독 도구 2022년 XNUMX월에 공개되었습니다.
Kivilevich는 RET가 판매용으로 제공한 코드에 대한 유일한 정보는 소스 코드의 스크린샷뿐이라고 말했습니다. 그 정보만으로는 KELA가 코드가 진짜인지 아닌지를 평가하기 어렵다고 그녀는 말합니다. 그러나 위협 행위자 RET는 서로 다른 핸들을 사용하여 최소 두 개의 다른 사이버 범죄 포럼에서 활동했으며 그 중 하나에 대해 어느 정도 신뢰를 얻은 것으로 보입니다.
Kivilevich는 "그 중 한 명은 좋은 평판을 얻었고 세 건은 포럼 중개인 서비스를 통해 성공적인 거래를 확인했습니다. 이는 배우에게 어느 정도 신뢰도를 더해 줍니다"라고 Kivilevich는 말합니다.
“KELA는 또한 자신의 제품 중 하나에 대한 구매자의 중립적인 리뷰를 확인했는데, 이는 바이러스 백신 우회 솔루션인 것으로 보입니다. 리뷰에서는 Windows Defender와 유사한 바이러스 백신을 무력화할 수 있지만 '심각한' 바이러스 백신에서는 작동하지 않을 것이라고 말했습니다.”라고 덧붙였습니다.
한때 강력한 위협이 충돌 및 화상을 입었습니다.
Zeppelin은 위협 행위자들이 최소 2019년부터 미국 대상을 대상으로 여러 차례 공격에 사용한 랜섬웨어입니다. 이 악성 코드는 Delphi 프로그래밍 언어로 작성된 랜섬웨어인 VegaLocker에서 파생되었습니다. 2022년 XNUMX월, 미국 CISA(사이버보안 및 인프라 보안국)와 FBI는 Zeppelin 공격자가 악성 코드를 배포하고 시스템을 감염시키는 데 사용한 전술, 기술 및 절차(TTP)에 대한 세부 정보와 침해 지표를 공개했습니다.
당시 CISA는 이 악성코드가 방산업체, 제조업체, 교육 기관, 기술 회사, 특히 의료 및 의료 산업 조직을 포함한 미국 대상을 대상으로 한 여러 공격에 사용되었다고 설명했습니다. Zeppelin과 관련된 공격의 초기 몸값 요구액은 수천 달러에서 백만 달러가 넘는 경우도 있었습니다.
Kivilevich는 Zeppelin 소스 코드 구매자가 악성코드 코드를 획득하면 다른 사람들이 하는 일을 할 가능성이 높다고 말합니다.
"과거에는 다양한 행위자가 작업에서 다른 변종의 소스 코드를 재사용하는 것을 보았기 때문에 구매자가 동일한 방식으로 코드를 사용할 가능성이 있습니다."라고 그녀는 말합니다. “예를 들어 유출된 록비트 3.0 빌더는 Bl00dy에 의해 채택되었으며 LockBit 자체는 사용 중이었습니다. 콘티 소스코드 유출 BlackMatter에서 코드를 구입했으며 최근 사례 중 하나는 Hive 소스 코드를 구입했다고 주장하는 Hunters International입니다.”
Kivilevich는 위협 행위자 RET가 Zeppelin의 소스 코드와 빌더를 단돈 500달러에 판매한 이유가 명확하지 않다고 말했습니다. “말하기 어렵습니다.”라고 그녀는 말합니다. “아마도 그는 빌더를 크랙한 후 소스 코드를 얻을 수 있었다는 점을 고려하면 더 높은 가격에 비해 충분히 정교하지 않다고 생각했을 것입니다. 하지만 우리는 여기서 추측하고 싶지 않습니다.”
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
