Zeppelin 勒索软件源代码在黑客论坛上以 500 美元的价格出售

Anna艳娜2024-01-08 13:08:28

据BleepingComputer消息,一名黑客在某网络犯罪论坛上发帖,以500美元的超低价格出售 Zeppelin 勒索软件构建器的源代码和破解版本,该软件曾多次针对美国关键基础设施企业和组织发起攻击。



卖家KELA贴出的勒索软件截图


据发现该贴子的威胁情报公司 KELA称,如此低的价格虽然不确定其中是否存在“套路”,但这位昵称为“RET ”的卖家屏幕截图表明他确实获得了该勒索软件的代码。


RET称他并未参与编写该恶意软件,而只是设法破解了该软件的构建器版本,并解释是在没有获得许可的情况下得到了该软件包。


Zeppelin 勒索软件是 VegaLocker 的衍生品,VegaLocker 是一种用 Delphi 编程语言编写的勒索软件。2022 年 8 月,美国网络安全&基础设施安全局 (CISA) 和 FBI 发布了 Zeppelin 攻击者用于传播恶意软件和感染系统的妥协指标(IOC)以及策略、技术和程序 (TTP) 的详细信息。



2022年11月,研究人员发现了当时 Zeppelin加密方案中可利用的缺陷,并以此研发出了解密器,从那以后,Zeppelin的活动有所下降。但在此之前,该勒索软件一直被用于针对美国多个基础设施目标的多次攻击,包括国防承包商、制造商、教育机构、技术公司,尤其是医疗和保健行业组织。


值得注意的是,有用户明确询问售卖的版本是否修复了之前的缺陷,RET复称这是恶意软件的第二个版本,不会再包含这些漏洞。


目前尚不清楚为什么RET仅以 500 美元的价格出售,安全专家称可能卖家觉得它不够复杂,无法获得更高的支付价格。


参考来源:Zeppelin ransomware source code sold for $500 on hacking forum


软件zeppelin
本作品采用《CC 协议》,转载必须注明作者和本文链接
2020 年 5 月,一家公司感染了新勒索软件 Zeppelin,更糟糕的是备份数据也被加密了。这时候他们收到了一个意想不到的电话,一位 FBI 特工告诉他们不要支付赎金,可以联络一家网络安全咨询公司 Unit 221B,他们能破解密码。Unit 221B 不愿意声张他们的破解能力,因为如果被 Zeppelin 作者知道的话,漏洞会被堵上,破解也就失效了。Unit 221B 帮助数十名受害者避免支付赎金,而结果是 Zeppelin 勒索软件黑帮逐渐停止了活动。
据BleepingComputer消息,一名黑客在某网络犯罪论坛上发帖,以500美元的超低价格出售 Zeppelin 勒索软件构建器的源代码和破解版本,该软件曾多次针对美国关键基础设施企业和组织发起攻击。
Zeppelin勒索软件的开发者在经历了一段相对沉寂的时期后,已经恢复了活动,并开始宣传该恶意软件的新版本。上个月末,该恶意软件的一种最新变种出现在一个黑客论坛上。
彼得是一家技术制造商的IT经理,该制造商在2020年5月受到了一种名为“Zeppelin”的勒索病毒的攻击。在拖延勒索者两周之后,彼得的老板们准备投降并支付赎金。从联邦调查局获得的推荐,让他们悄悄地帮助近24个受害者组织恢复,而无需向勒索者支付费用。乔恩表示他的公司不愿意支付赎金,部分原因是从勒索者的要求来看,不清楚他们要求的赎金数额是否能提供一把解锁所有系统的钥匙,而且会安全地这样做。
Zeppelin Ransomware在沉寂数月后,又重新成为人们关注的焦点。是前面提到的木马下载程序,最终将Zeppelin勒索软件下载到受害者的计算机上。瞻博网络的研究人员指出,最近的这场运动已经影响了约64个已知受害者和目标,表明有一定程度的针对性。Zeppelin是基于Delphi的勒索软件即服务家族的一种变体,最初称为Vega或VegaLocker,根据BlackBerry Cylance的说法,它们于2019年初出现在俄罗斯的广告中。与前身不同,Zeppelin的定位更具针对性,并首先瞄准了欧洲和美国的定位技术和医疗保健公司
据这家医院的监事会联合主席Richard Delepierre声称,这起勒索软件事件的幕后攻击者已经索要赎金。ois Braun声称,该医院还被迫将6名患者从新生儿和重症监护病房转移到了其他医疗机构。目前,ANSSI和巴黎检察官办公室正在调查这起网络攻击。另一份联合公告在10月份警告称,一个名为Daixin Team的网络犯罪团伙对HPH行业发动了持续性的勒索软件攻击。
安全研究员认为这部分信息很可能来自之前Conti源码和内部消息泄露,虽然Conti这个大品牌已经解散,但成员仍流落在外混入各个组织继续活动,看来这次美国是打算对其彻底剿灭。直到现在,官方表示调查仍处于早期,数据泄露情况还要进一步分析才能确认。
SCADAfence表示,这是首次将CVE标识符分配给Alerton产品中的漏洞。正义奖赏计划是美国国务院的一项计划,奖励与影响美国国家安全的威胁行为者相关的信息。消息人士称,沙特阿拉伯和以色列公司之间日益增长的秘密网络间谍关系将为所谓的CyberIC计划铺平道路,该计划旨在保护沙特王国的网络安全部门。
Rhysida勒索软件组织于今年5月首次被披露,自那时起,它就与几起影响巨大的攻击事件有关,其中包括对智利军队的攻击。最近,该组织还与针对Prospect Medical Holdings的攻击有关,影响了美国的17家医院和166家诊所。在这次攻击之后,美国卫生与公众服务部将Rhysida定义为对医疗保健行业的重大威胁。
根据多家安全机构发布的调查报告,LockBit 3.0在2022年第三季度勒索软件攻击事件中攻击次数最多,并且是数据泄露网站上列出的2022年受害者人数最多的勒索软件团伙。该团伙依靠Qbot木马进行传播,并利用Print Nightmare漏洞进行攻击。该团伙主要针对教育部门进行攻击,并依赖于现有勒索软件家族的分支,例如HelloKitty和Zeppelin
Anna艳娜
暂无描述