Bir tehdit aktörü, geçmişte ABD’deki işletmelere ve kritik altyapı sektörlerindeki kuruluşlara yönelik çok sayıda saldırıda kullanılan bir Rus fidye yazılımı türü olan Zeppelin’in kaynak kodunu ve kırılmış bir oluşturucusunu yalnızca 500 dolara sattı.
Satış, pek çok kişinin kötü amaçlı yazılımı büyük ölçüde işlevsiz ve işlevsiz olarak değerlendirdiği bir dönemde, Zeppelin’i içeren bir hizmet olarak fidye yazılımının (RaaS) yeniden canlanışının sinyalini verebilir.
RAMP Suç Forumunda Yangın Satışı
İsrailli siber güvenlik firması KELA’daki araştırmacılar Aralık ayının sonlarında, Zeppelin2’nin kaynak kodunu ve oluşturucusunu, diğer şeylerin yanı sıra bir zamanlar Babuk fidye yazılımının sızıntı sitesine de ev sahipliği yapan bir Rus siber suç forumu olan RAMP’de satışa sunan “RET” tanıtıcısını kullanan bir tehdit aktörünü tespit etti. Birkaç gün sonra, 31 Aralık’ta tehdit aktörü, kötü amaçlı yazılımı bir RAMP forum üyesine sattığını iddia etti.
Victoria Kivileviç, KELA tehdit araştırma direktörü, tehdit aktörünün Zeplin kodunu ve oluşturucusunu nasıl veya nereden elde etmiş olabileceğinin belirsiz olduğunu söylüyor. Kivilevich, “Satıcı, inşaatçıyla ‘karşılaştığını’ ve Delphi’de yazılmış kaynak kodunu dışarı çıkarmak için onu kırdığını belirtti.” diyor. RET, kötü amaçlı yazılımın yazarının kendileri olmadığını açıkça belirttiğini ekliyor.
Satışa sunulan kodun, Zeppelin’in orijinal sürümün şifreleme rutinlerindeki birçok zayıf noktayı düzelten bir sürümü için olduğu anlaşılıyor. Bu zayıflıklar, siber güvenlik firması Unit221B’deki araştırmacıların Zeppelin’in şifreleme anahtarlarını kırmasına ve neredeyse iki yıl boyunca kurban kuruluşların kilitli verilerin şifresini çözmesine sessizce yardımcı olmasına olanak tanıdı. Zeplin ile ilgili RaaS etkinliği Unit22B’nin haberi sonrasında azaldı gizli şifre çözme aracı Kasım 2022’de halka açıldı.
Kivilevich, RET’in satışa sunduğu kodla ilgili tek bilginin kaynak kodun ekran görüntüsü olduğunu söylüyor. Yalnızca bu bilgilere dayanarak KELA’nın kodun orijinal olup olmadığını değerlendirmesinin zor olduğunu söylüyor. Ancak tehdit aktörü RET, farklı platformlar kullanan en az iki siber suç forumunda daha aktif durumda ve bunlardan birinde bir tür güvenilirlik sağlamış görünüyor.
Kivilevich, “Bunlardan birinde iyi bir üne sahip ve forum aracı hizmeti aracılığıyla onaylanmış üç başarılı anlaşma var, bu da oyuncuya bir miktar güvenilirlik katıyor” diyor.
“KELA ayrıca, bir antivirüs baypas çözümü gibi görünen ürünlerinden birinin alıcısından tarafsız bir inceleme aldı. İncelemede bunun Windows Defender’a benzer bir antivirüsü etkisiz hale getirebildiği ancak ‘ciddi’ durumda çalışmadığı belirtildi. ‘ antivirüs” diye ekliyor.
Bir Zamanların Güçlü Tehdidi Çökmeler ve Yanıklar
Zeppelin, tehdit aktörlerinin en az 2019 yılına kadar ABD hedeflerine yönelik birden fazla saldırıda kullandığı bir fidye yazılımıdır. Kötü amaçlı yazılım, Delphi programlama dilinde yazılmış bir fidye yazılımı olan VegaLocker’ın bir türevidir. Ağustos 2022’de ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, Zeplin aktörlerinin kötü amaçlı yazılımları dağıtmak ve sistemlere bulaşmak için kullandıkları taktikler, teknikler ve prosedürler (TTP’ler) hakkında risk göstergeleri ve ayrıntılar yayınladı.
O dönemde CISA, kötü amaçlı yazılımın savunma yüklenicileri, üreticiler, eğitim kurumları, teknoloji şirketleri ve özellikle tıp ve sağlık sektörlerindeki kuruluşlar dahil olmak üzere ABD hedeflerine yönelik çeşitli saldırılarda kullanıldığını tanımlamıştı. Zeplin saldırılarında ilk fidye talepleri birkaç bin dolardan bazı durumlarda bir milyon doların üzerine kadar değişiyordu.
Kivilevich, Zeppelin kaynak kodunu satın alan kişinin, kötü amaçlı yazılım kodunu edindiğinde başkalarının yaptığını yapmasının muhtemel olduğunu söylüyor.
“Geçmişte, farklı aktörlerin operasyonlarında diğer türlerin kaynak kodunu yeniden kullandığını gördük, dolayısıyla alıcının kodu aynı şekilde kullanması mümkün” diyor. “Örneğin sızdırılan LockBit3.0 inşaatçı Bl00dy tarafından benimsendi, LockBit’in kendisi de kullanıyordu Conti kaynak kodu sızdırıldı ve BlackMatter’dan satın aldıkları kod ve son örneklerden biri, Hive kaynak kodunu satın aldığını iddia eden Hunters International’dır.”
Kivilevich, tehdit aktörü RET’in neden Zeppelin’in kaynak kodunu ve oluşturucusunu sadece 500 dolara satmış olabileceğinin çok açık olmadığını söylüyor. “Söylemesi zor” diyor. “İnşaatçıyı kırdıktan sonra kaynak kodunu almayı başardığı göz önüne alındığında, muhtemelen daha yüksek bir fiyat için yeterince karmaşık olduğunu düşünmemişti. Ancak burada spekülasyon yapmak istemiyoruz.”