Een bedreigingsacteur heeft voor slechts $ 500 de broncode en een gekraakte builder verkocht voor Zeppelin, een Russische ransomwaresoort die in het verleden werd gebruikt bij talloze aanvallen op Amerikaanse bedrijven en organisaties in kritieke infrastructuursectoren.
De verkoop zou de heropleving kunnen betekenen van ransomware-as-a-service (RaaS) met Zeppelin, in een tijd waarin velen de malware hadden afgeschreven als grotendeels niet-operationeel en ter ziele.
Branduitverkoop op RAMP Crime Forum
Onderzoekers van het Israëlische cyberbeveiligingsbedrijf KELA ontdekten eind december een bedreigingsacteur die het handvat “RET” gebruikte en de broncode en bouwer voor Zeppelin2 te koop aanbood op RAMP, een Russisch cybercriminaliteitsforum dat onder andere ooit de leksite van de Babuk-ransomware hostte. Een paar dagen later, op 31 december, beweerde de bedreigingsacteur de malware aan een RAMP-forumlid te hebben verkocht.
Victoria Kivilevitsj, directeur dreigingsonderzoek bij KELA, zegt dat het onduidelijk is hoe en waar de dreigingsactor mogelijk de code en bouwer voor Zeppelin heeft verkregen. “De verkoper heeft gespecificeerd dat ze de bouwer ‘tegenkwamen’ en deze hadden gekraakt om de in Delphi geschreven broncode te exfiltreren”, zegt Kivilevich. RET heeft duidelijk gemaakt dat zij niet de auteur van de malware zijn, voegt ze eraan toe.
De code die te koop was, lijkt bedoeld te zijn voor een versie van Zeppelin die meerdere zwakke punten in de coderingsroutines van de originele versie corrigeerde. Dankzij deze zwakke punten konden onderzoekers van cyberbeveiligingsbedrijf Unit221B de encryptiesleutels van Zeppelin kraken en bijna twee jaar lang stilletjes slachtofferorganisaties helpen bij het ontsleutelen van vergrendelde gegevens. Zeppelin-gerelateerde RaaS-activiteit daalde na nieuws over Unit22B geheime decoderingstool werd in november 2022 openbaar.
Kivilevich zegt dat de enige informatie over de code die RET te koop aanbood een screenshot van de broncode was. Alleen al op basis van die informatie is het voor KELA moeilijk om te beoordelen of de code echt is of niet, zegt ze. De dreigingsactor RET is echter actief geweest op ten minste twee andere cybercriminaliteitsforums, waarbij hij verschillende kanalen gebruikte, en lijkt op een van deze forums een zekere geloofwaardigheid te hebben gevestigd.
"Op één ervan heeft hij een goede reputatie en drie bevestigde succesvolle deals via de tussenpersoon op het forum, wat de acteur enige geloofwaardigheid geeft", zegt Kivilevich.
“KELA heeft ook een neutrale recensie gezien van een koper van een van zijn producten, wat een antivirus-bypass-oplossing lijkt te zijn. In de recensie stond dat het een antivirusprogramma vergelijkbaar met Windows Defender kan neutraliseren, maar dat het niet werkt op ‘serieuze’ antivirusprogramma’s”, voegt ze eraan toe.
Een eens zo krachtige dreiging crasht en brandt
Zeppelin is ransomware die bedreigingsactoren hebben gebruikt bij meerdere aanvallen op Amerikaanse doelen die teruggaan tot ten minste 2019. De malware is een afgeleide van VegaLocker, een ransomware geschreven in de programmeertaal Delphi. In augustus 2022 publiceerden de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) en de FBI indicatoren van compromissen en details over de tactieken, technieken en procedures (TTP's) die Zeppelin-acteurs gebruikten om de malware te verspreiden en systemen te infecteren.
CISA beschreef destijds dat de malware werd gebruikt bij verschillende aanvallen op Amerikaanse doelen, waaronder defensie-aannemers, fabrikanten, onderwijsinstellingen, technologiebedrijven en vooral organisaties in de medische en gezondheidszorgsector. De aanvankelijke losgeldeisen bij aanvallen waarbij Zeppelin betrokken was, varieerden in sommige gevallen van een paar duizend dollar tot meer dan een miljoen dollar.
Kivilevich zegt dat het waarschijnlijk is dat de koper van de Zeppelin-broncode zal doen wat anderen doen als ze malwarecode hebben verkregen.
“In het verleden hebben we gezien dat verschillende actoren de broncode van andere soorten hergebruikten in hun activiteiten, dus het is mogelijk dat de koper de code op dezelfde manier zal gebruiken”, zegt ze. “Het lekte bijvoorbeeld LockBit 3.0 builder werd geadopteerd door Bl00dy, LockBit zelf gebruikte gelekte Conti-broncode en code die ze bij BlackMatter hebben gekocht, en een van de recente voorbeelden is Hunters International die beweert de Hive-broncode te hebben gekocht.”
Kivilevich zegt dat het niet erg duidelijk is waarom de bedreigingsacteur RET de broncode en bouwer van Zeppelin voor slechts $ 500 heeft verkocht. “Moeilijk te zeggen”, zegt ze. “Mogelijk vond hij het niet geavanceerd genoeg voor een hogere prijs – gezien het feit dat hij erin slaagde de broncode te bemachtigen nadat hij de builder had gekraakt. Maar we willen hier niet speculeren.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot-security/zeppelin-ransomware-source-code-builder-sells-500-dark-web
