Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Mã nguồn và trình tạo mã độc tống tiền Zeppelin được bán với giá 500 USD trên Dark Web

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 169

Một kẻ đe dọa đã bán mã nguồn và công cụ bẻ khóa cho Zeppelin với giá chỉ 500 USD, một chủng ransomware của Nga được sử dụng trong nhiều cuộc tấn công vào các doanh nghiệp và tổ chức Hoa Kỳ trong các lĩnh vực cơ sở hạ tầng quan trọng trước đây.

Việc mua bán này có thể báo hiệu sự hồi sinh của ransomware dưới dạng dịch vụ (RaaS) có Zeppelin, vào thời điểm mà nhiều người đã coi phần mềm độc hại này phần lớn không hoạt động và không còn tồn tại.

Khuyến mãi cháy nổ trên Diễn đàn tội phạm RAMP

Các nhà nghiên cứu tại công ty an ninh mạng KELA của Israel vào cuối tháng 2 đã phát hiện một kẻ đe dọa sử dụng tên “RET” để rao bán mã nguồn và trình tạo cho Zeppelin31 trên RAMP, một diễn đàn về tội phạm mạng của Nga, nơi từng lưu trữ trang web rò rỉ ransomware Babuk. Vài ngày sau, vào ngày XNUMX tháng XNUMX, kẻ đe dọa tuyên bố đã bán phần mềm độc hại cho một thành viên diễn đàn RAMP.

Victoria Kivilevich, Giám đốc nghiên cứu mối đe dọa tại KELA, cho biết vẫn chưa rõ bằng cách nào hoặc từ đâu mà tác nhân đe dọa có thể lấy được mã và trình tạo của Zeppelin. Kivilevich nói: “Người bán đã xác định rõ rằng họ đã ‘bắt gặp’ công cụ xây dựng và bẻ khóa nó để lấy ra mã nguồn được viết bằng Delphi. Cô cho biết thêm, RET đã nói rõ rằng họ không phải là tác giả của phần mềm độc hại.

Mã được bán dường như là dành cho một phiên bản Zeppelin đã sửa chữa nhiều điểm yếu trong quy trình mã hóa của phiên bản gốc. Những điểm yếu đó đã cho phép các nhà nghiên cứu từ công ty an ninh mạng Unit221B bẻ khóa mã hóa của Zeppelin và trong gần hai năm, âm thầm giúp các tổ chức nạn nhân giải mã dữ liệu bị khóa. Hoạt động RaaS liên quan đến Zeppelin đã giảm sau tin tức về Unit22B công cụ giải mã bí mật được công khai vào tháng 2022 năm XNUMX.

Kivilevich cho biết thông tin duy nhất về mã mà RET rao bán là ảnh chụp màn hình mã nguồn. Cô nói, chỉ dựa trên thông tin đó, KELA khó có thể đánh giá liệu mã này có phải là thật hay không. Tuy nhiên, kẻ đe dọa RET đã hoạt động tích cực trên ít nhất hai diễn đàn tội phạm mạng khác bằng cách sử dụng các tên miền khác nhau và dường như đã tạo được uy tín nhất định đối với một trong số chúng.

Kivilevich nói: “Một trong số đó, anh ấy có danh tiếng tốt và ba giao dịch thành công đã được xác nhận thông qua dịch vụ trung gian của diễn đàn, điều này làm tăng thêm độ tin cậy cho nam diễn viên.

“KELA cũng đã nhận được đánh giá trung lập từ một người mua một trong những sản phẩm của anh ấy, đây dường như là một giải pháp vượt qua phần mềm chống vi-rút. Đánh giá cho biết nó có thể vô hiệu hóa một phần mềm chống vi-rút tương tự như Windows Defender, nhưng nó sẽ không hoạt động đối với phần mềm chống vi-rút 'nghiêm trọng',” cô cho biết thêm.

Mối đe dọa tiềm tàng một thời sụp đổ và bùng cháy

Zeppelin là ransomware mà các tác nhân đe dọa đã sử dụng trong nhiều cuộc tấn công vào các mục tiêu ở Hoa Kỳ ít nhất là từ năm 2019. Phần mềm độc hại này là một dẫn xuất của VegaLocker, một ransomware được viết bằng ngôn ngữ lập trình Delphi. Vào tháng 2022 năm XNUMX, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) và FBI đã công bố các chỉ số về sự xâm phạm và thông tin chi tiết về chiến thuật, kỹ thuật và quy trình (TTP) mà các tác nhân Zeppelin đang sử dụng để phân phối phần mềm độc hại và lây nhiễm vào hệ thống.

Vào thời điểm đó, CISA mô tả phần mềm độc hại này đang được sử dụng trong một số cuộc tấn công vào các mục tiêu của Hoa Kỳ bao gồm các nhà thầu quốc phòng, nhà sản xuất, tổ chức giáo dục, công ty công nghệ và đặc biệt là các tổ chức trong ngành y tế và chăm sóc sức khỏe. Yêu cầu tiền chuộc ban đầu trong các cuộc tấn công liên quan đến Zeppelin dao động từ vài nghìn đô la đến hơn một triệu đô la trong một số trường hợp.

Kivilevich cho biết có khả năng người mua mã nguồn Zeppelin sẽ làm những gì người khác làm khi họ mua được mã phần mềm độc hại.

Cô nói: “Trước đây, chúng tôi đã thấy nhiều tác nhân khác nhau sử dụng lại mã nguồn của các chủng khác trong hoạt động của họ, vì vậy có thể người mua sẽ sử dụng mã theo cách tương tự”. “Ví dụ, thông tin bị rò rỉ KhóaBit 3.0 trình xây dựng đã được Bl00dy áp dụng, chính LockBit cũng đang sử dụng mã nguồn Conti bị rò rỉ và mã họ đã mua từ BlackMatter, và một trong những ví dụ gần đây là Hunters International tuyên bố đã mua mã nguồn Hive.”

Kivilevich cho biết vẫn chưa rõ tại sao kẻ đe dọa RET lại có thể bán mã nguồn và trình tạo của Zeppelin với giá chỉ 500 USD. “Khó mà nói,” cô nói. “Có thể anh ta không nghĩ nó đủ phức tạp để có giá cao hơn - vì anh ta đã lấy được mã nguồn sau khi bẻ khóa công cụ xây dựng. Nhưng chúng tôi không muốn suy đoán ở đây.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.