甩卖:Zeppelin 勒索软件源代码在暗网上售价 500 美元

阅读量54794

发布时间 : 2024-01-08 15:11:30

一名威胁行为者仅以 500 美元的价格出售了 Zeppelin 的源代码和破解的构建器,Zeppelin 是一种俄罗斯勒索软件,过去曾多次针对关键基础设施领域的美国企业和组织发起攻击。

此次出售可能标志着以 Zeppelin 为特色的勒索软件即服务 (RaaS) 的复兴,当时许多人认为该恶意软件基本上无法运行且已失效。

RAMP 犯罪论坛上的减价销售

以色列网络安全公司 KELA 的研究人员于 12 月底发现一名威胁行为者使用“RET”句柄,在 RAMP 上出售 Zeppelin2 的源代码和构建器。RAMP 是一个俄罗斯网络犯罪论坛,该论坛曾经托管过 Babuk 勒索软件的泄露网站。几天后,即 12 月 31 日,威胁行为者声称已将恶意软件出售给 RAMP 论坛成员。

KELA 威胁研究总监Victoria Kivilevich表示,目前尚不清楚威胁行为者如何或从何处获得 Zeppelin 的代码和构建器。“卖家明确表示,他们‘遇到’了该构建器并破解了它,从而泄露了用 Delphi 编写的源代码,”基维列维奇说。她补充道,RET 已明确表示他们不是该恶意软件的作者。

出售的代码似乎是 Zeppelin 版本的代码,该版本纠正了原始版本加密例程中的多个弱点。这些弱点使得网络安全公司 Unit221B 的研究人员能够破解 Zeppelin 的加密密钥,并在近两年的时间里悄悄帮助受害者组织解密锁定的数据。在 Unit22B秘密解密工具的消息于2022 年 11 月公开后,Zeppelin 相关的 RaaS 活动有所下降。

Kivilevich 表示,RET 出售的代码的唯一信息是源代码的屏幕截图。她说,仅根据这些信息,KELA 很难评估该代码是否真实。然而,威胁行为者 RET 已经使用不同的账号活跃在至少两个其他网络犯罪论坛上,并且似乎已经在其中一个论坛上建立了某种可信度。

“在其中一项交易中,他拥有良好的声誉,并且通过论坛中间人服务确认了三项成功交易,这为交易增加了一些可信度,”基维列维奇说。

“KELA 还看到了一位买家对他的一款产品的中立评论,该产品似乎是一种防病毒绕过解决方案。该评论称,它能够中和类似于 Windows Defender 的防病毒软件,但它无法在“严重的情况下工作”。 ‘ 防病毒软件,”她补充道。

曾经强大的威胁崩溃并烧伤

Zeppelin 是勒索软件,威胁行为者至少可以追溯到 2019 年,曾在对美国目标的多次攻击中使用过。该恶意软件是 VegaLocker 的衍生品,VegaLocker 是一种用 Delphi 编程语言编写的勒索软件。2022 年 8 月,美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了 Zeppelin 攻击者用于传播恶意软件和感染系统的妥协指标以及策略、技术和程序 (TTP) 的详细信息。

当时,CISA 称该恶意软件被用于针对美国目标的多次攻击,包括国防承包商、制造商、教育机构、技术公司,尤其是医疗和保健行业的组织。在涉及 Zeppelin 的攻击中,最初的赎金要求从几千美元到有时超过一百万美元不等。

Kivilevich 表示,Zeppelin 源代码的购买者在获得恶意软件代码后很可能会用于勒索攻击。

“过去,我们看到黑客在其攻击中重复使用各类恶意软件的源代码,因此买家可能会以相同的方式使用代码,”她说。“例如,泄露的LockBit 3.0构建器被 Bl00dy 采用,LockBit 本身使用泄露的 Conti 源代码和他们从 BlackMatter 购买的代码,最近的例子之一是声称购买了 Hive 源代码的 Hunters International。”

Kivilevich 表示,目前还不清楚为什么威胁行为者 RET 可能仅以 500 美元的价格出售 Zeppelin 的源代码和构建器。“很难说,”她说。“可能他认为它不够复杂,无法支付更高的价格——考虑到他在破解构建器后设法获得了源代码。但我们不想在这里猜测。”

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66