Código Fonte do Ransomware Zeppelin Vendido por Apenas $500 na Dark Web

Revenda Surpreendente de Malware

Um hacker recentemente comercializou o código fonte e um construtor ‘crackeado’ do Zeppelin, uma cepa russa de ransomware, por apenas 500 dólares. Este ato poderia sinalizar a retomada das operações de ransomware-as-a-service (RaaS) com o Zeppelin, especialmente em um momento em que muitos consideravam o malware praticamente inoperante.

Oferta Inesperada no Fórum RAMP

Pesquisadores da empresa israelense de segurança cibernética KELA observaram em dezembro um ator de ameaças, identificado como “RET”, oferecendo o código fonte e construtor do Zeppelin2 para venda no RAMP, um fórum de cibercrime russo. Dias depois, em 31 de dezembro, o ator alegou ter vendido o malware para um membro do fórum RAMP.

Victoria Kivilevich, diretora de pesquisa de ameaças na KELA, menciona que não está claro como o ator de ameaças obteve o código e o construtor do Zeppelin. Ela acrescenta que RET deixou claro não ser o autor do malware.

• Jogo Indie lançado no primeiro dia do GamePass ganha atualização
• Anúncios no Bing Chat da Microsoft podem direcionar usuários a sites de malware
• Alerta: Atualize Agora o Navegador Chrome para Evitar Exploração de Vulnerabilidade Ativa
• Ataque de Ransomware Afeta CloudNordic: Clientes Perdem Todos os Dados
• Resolvendo o Código de Erro 3-0x0001000B no Rainbow Six Siege

Versão Aprimorada do Zeppelin

O código à venda parece ser para uma versão aprimorada do Zeppelin que corrigiu várias falhas na rotina de criptografia da versão original. Essas falhas permitiram que pesquisadores da firma de segurança cibernética Unit221B decifrassem as chaves de criptografia do Zeppelin e ajudassem discretamente as organizações vítimas a descriptografar dados bloqueados por quase dois anos. A atividade relacionada ao RaaS do Zeppelin diminuiu após a divulgação da ferramenta secreta de descriptografia em novembro de 2022.

Autenticidade do Código e Credibilidade do Vendedor

Kivilevich afirma que, baseado apenas em uma captura de tela do código fonte, é difícil para a KELA avaliar sua autenticidade. No entanto, o vendedor RET tem sido ativo em pelo menos dois outros fóruns de cibercrime e parece ter alguma credibilidade. “Em um desses fóruns, ele tem boa reputação e três negócios bem-sucedidos confirmados através do serviço de intermediação do fórum”, diz Kivilevich.

Um Malware Potente Perde Força

Zeppelin é um ransomware que foi usado em vários ataques a alvos nos EUA desde 2019. A CISA descreveu o malware como sendo utilizado em ataques a diversos setores, incl

uindo contratantes de defesa, fabricantes, instituições educacionais, empresas de tecnologia, e especialmente organizações médicas e de saúde. As demandas de resgate nos ataques variavam de alguns milhares a mais de um milhão de dólares.

Potencial Uso do Código Fonte

É provável que o comprador do código fonte do Zeppelin o utilize de maneira semelhante a como outros adquiriram códigos de malware no passado. “Vimos diferentes atores reutilizando o código fonte de outras cepas em suas operações, então é possível que o comprador use o código da mesma maneira”, explica Kivilevich.

Motivação para a Venda a Baixo Custo

Não está claro por que o ator de ameaças RET vendeu o código fonte e o construtor do Zeppelin por apenas $500. “Difícil dizer”, comenta Kivilevich. “Possivelmente, ele não achou que era sofisticado o suficiente para um preço mais alto, considerando que conseguiu o código fonte após ‘crackear’ o construtor.”

Previsões para o Futuro do Zeppelin

Apesar de não ser claro se haverá um ressurgimento significativo do Zeppelin como uma operação de RaaS, a venda de seu código fonte por um preço tão baixo sugere que poderemos

Mais Sobre: https://heimdalsecurity.com/blog/zeppelin-ransomware-decryption-tool-secretly-deployed-to-aid-victims/

Fonte: https://securityaffairs.com/156974/cyber-crime/zeppelin-ransomware-source-code.html