El código fuente de Zeppelin Ransomware vendido en un Foro

Iniciado por AXCESS, Enero 05, 2024, 11:40:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 05, 2024, 11:40:54 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Un actor de amenazas anunció en un foro sobre ciberdelincuencia que vendió el código fuente y una versión descifrada del ransomware Zeppelin por sólo 500 dólares.

La publicación fue detectada por la empresa de inteligencia sobre amenazas KELA y, aunque no se ha validado la legitimidad de la oferta, las capturas de pantalla del vendedor indican que el paquete es real.

Quien haya comprado el paquete podría utilizar el malware para poner en marcha una nueva operación de ransomware como servicio (RaaS) o escribir un nuevo casillero basado en la familia Zeppelin.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El vendedor del código fuente y del constructor de Zeppelin utiliza el identificador 'RET' y aclaró que ellos no fueron los autores del malware, sino que simplemente lograron descifrar una versión del constructor. RET añadió que habían adquirido el paquete sin licencia.

"De dónde conseguí el constructor sin licencia es asunto mío. [...] Acabo de descifrar el constructor", escribió el vendedor en respuesta a otros miembros del foro de hackers.

El ciberdelincuente señaló que pretendían vender el producto a un único comprador y congelarían la venta hasta completar la transacción.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

En noviembre de 2022, tras la interrupción de la operación Zeppelin RaaS, los investigadores de seguridad y aplicación de la ley revelaron que habían encontrado fallas explotables en el esquema de cifrado de Zeppelin, lo que les permitió construir un descifrador y ayudar a las víctimas desde 2020.

Un usuario en el hilo del foro de Zeppelin pregunta explícitamente si la nueva versión ha solucionado los fallos en la implementación de la criptografía, a lo que el vendedor responde diciendo que es la segunda versión del malware que ya no debería incluir las vulnerabilidades.
Antecedentes del ransomware Zeppelin

Zeppelin es un derivado de la familia de malware Vega/VegaLocker basada en Delphi que estuvo activo entre 2019 y 2022. Se utilizó en ataques de doble extorsión y sus operadores en ocasiones pedían rescates de hasta 1 millón de dólares.

Las versiones del ransomware Zeppelin original se vendieron por hasta 2300 dólares en 2021, después de que su autor anunciara una actualización importante del software.

El RaaS ofreció un trato relativamente ventajoso a los afiliados, permitiéndoles quedarse con el 70% de los pagos del rescate y el 30% para el desarrollador.

En el verano de 2022, la Oficina Federal de Investigaciones (FBI) advirtió sobre una nueva táctica empleada por los operadores del ransomware Zeppelin que implica múltiples rondas de cifrado.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario