Phát hiện mã nguồn một ransomware nguy hiểm đang được rao bán với giá chỉ 500 USD

Mã nguồn và phiên bản bẻ khóa của trình tạo Zeppelin - một chủng ransomware tương đối nguy hiểm - hiện đang được rao bán công khai trên một diễn đàn tội phạm mạng với giá chỉ 500 USD. Bài đăng đã được phát hiện bởi công ty tình báo mối đe dọa an ninh mạng KELA. Và mặc dù tính chính xác của gói dữ liệu vẫn chưa được xác thực, nhưng ảnh chụp màn hình từ người bán cho thấy “gói hàng” là có thật.

Bất kỳ ai mua được gói dữ liệu này đều có thể sử dụng phần mềm độc hại Zeppelin để thực hiện các hoạt động ransomware-as-a-service (RaaS), hoặc viết một key mới dựa trên mã nguồn của chủng ransomware.

Người bán mã nguồn và trình tạo Zeppelin sử dụng nickname 'RET'. Kẻ này cho biết rằng hắn không phải là tác giả của phần mềm độc hại, mà chỉ đơn giản là người đã tìm ra cách bẻ khóa phiên bản trình tạo của mã độc. Người này nói thêm rằng hắn ta đã mua gói dữ liệu mà không có giấy phép.

RET cũng lưu ý rằng anh ta có dự định chỉ bán gói dữ liệu cho một người mua duy nhất, và sẽ tạm dừng việc bán hàng cho đến khi hoàn tất giao dịch.

Trước đó, vào tháng 11 năm 2022, sau khi Zeppelin RaaS ngừng hoạt động, các nhà nghiên cứu bảo mật và thực thi pháp luật quốc tế tiết lộ rằng họ đã tìm thấy những lỗ hổng có thể khai thác được trong sơ đồ mã hóa của Zeppelin, cho phép xây dựng bộ giải mã và trợ giúp các nạn nhân của mã độc trong khoảng thời gian từ năm 2020 trở lại đây.

Một người dùng trên diễn đàn Zeppelin thắc mắc liệu phiên bản mới có sửa được các lỗ hổng trong quá trình triển khai mã hay không. Người bán đã trả lời rằng đây là phiên bản thứ hai của phần mềm độc hại, và sẽ không còn chứa các lỗ hổng nữa.

Zeppelin là một dẫn xuất của dòng phần mềm độc hại Vega/VegaLocker dựa trên Delphi, hoạt động từ năm 2019 đến năm 2022. Nó được sử dụng trong các cuộc tấn công tống tiền kép và những kẻ đứng sau mã độc này trong một số trường hợp đã yêu cầu khoản tiền chuộc lên tới 1 triệu USD.

Các bản dựng của ransomware Zeppelin ban đầu đã được bán với giá lên tới 2.300 USD vào năm 2021, sau khi nhóm hacker đứng sau mã độc công bố một bản cập nhật lớn cho phần mềm. Nhóm này đưa ra một thỏa thuận tương đối có lợi cho các chi nhánh, cho phép họ giữ 70% khoản thanh toán tiền chuộc, 30% sẽ thuộc về nhà phát triển.

Vào mùa hè năm 2022, Cục Điều tra Liên bang (FBI) đã cảnh báo về một chiến thuật mới được những kẻ điều hành ransomware Zeppelin sử dụng liên quan đến nhiều vòng mã hóa.