Um ator de ameaças anunciou em um fórum de cibercrime que vendeu o código fonte e uma versão "cracked" (pirateada) do criador do ransomware Zeppelin por apenas $500.
A publicação foi notada pela empresa de inteligência de ameaças KELA e, embora a legitimidade da oferta não tenha sido validada, as capturas de tela do vendedor indicam que o pacote é real.
Quem comprou o pacote poderia usar o malware para criar uma nova operação de ransomware como serviço (RaaS) ou escrever um novo bloqueador baseado na família Zeppelin.
O vendedor do código-fonte e do criador do Zeppelin usa o apelido 'RET' e esclareceu que não é o autor do malware, mas conseguiu "crackear" uma versão do criador para ele.
RET acrescentou que adquiriu o pacote sem uma licença.
"Onde eu consegui o criador sem licença é problema meu.
Eu simplesmente crackeei o criador", escreveu o vendedor em resposta a outros membros do fórum hacker.
O cibercriminoso observou que pretendia vender o produto para um único comprador e congelaria a venda até concluir a transação.
Em novembro de 2022, após a descontinuação da operação RaaS do Zeppelin, as forças de segurança e pesquisadores de segurança divulgaram que encontraram falhas exploráveis no esquema de criptografia do Zeppelin, permitindo-lhes construir um decifrador e ajudar as vítimas desde 2020.
Um usuário no tópico do fórum Zeppelin perguntou explicitamente se a nova versão corrigiu as falhas na implementação da criptografia, ao que o vendedor respondeu dizendo que é a segunda versão do malware que não deveria mais incluir as vulnerabilidades.
Zeppelin é uma derivado do malware Vega/VegaLocker baseado em Delphi que estava ativo entre 2019 e 2022.
Ele foi usado em ataques de extorsão dupla e seus operadores às vezes pediam resgates que chegavam a $1 milhão.
As compilações do ransomware Zeppelin original foram vendidas por até $2,300 em 2021, depois que seu autor anunciou uma grande atualização do software.
O RaaS ofereceu um acordo relativamente vantajoso para afiliados, permitindo que eles ficassem com 70% dos pagamentos de resgate, com 30% indo para o desenvolvedor.
No verão de 2022, o FBI (Federal Bureau of Investigation) alertou sobre uma nova tática empregada pelos operadores do ransomware Zeppelin, envolvendo várias rodadas de criptografia.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...