Código fonte do ransomware Zeppelin é vendido por $500 em fórum de hacking
5 de Janeiro de 2024

Um ator de ameaças anunciou em um fórum de cibercrime que vendeu o código fonte e uma versão "cracked" (pirateada) do criador do ransomware Zeppelin por apenas $500.

A publicação foi notada pela empresa de inteligência de ameaças KELA e, embora a legitimidade da oferta não tenha sido validada, as capturas de tela do vendedor indicam que o pacote é real.

Quem comprou o pacote poderia usar o malware para criar uma nova operação de ransomware como serviço (RaaS) ou escrever um novo bloqueador baseado na família Zeppelin.

O vendedor do código-fonte e do criador do Zeppelin usa o apelido 'RET' e esclareceu que não é o autor do malware, mas conseguiu "crackear" uma versão do criador para ele.

RET acrescentou que adquiriu o pacote sem uma licença.

"Onde eu consegui o criador sem licença é problema meu.

Eu simplesmente crackeei o criador", escreveu o vendedor em resposta a outros membros do fórum hacker.

O cibercriminoso observou que pretendia vender o produto para um único comprador e congelaria a venda até concluir a transação.

Em novembro de 2022, após a descontinuação da operação RaaS do Zeppelin, as forças de segurança e pesquisadores de segurança divulgaram que encontraram falhas exploráveis no esquema de criptografia do Zeppelin, permitindo-lhes construir um decifrador e ajudar as vítimas desde 2020.

Um usuário no tópico do fórum Zeppelin perguntou explicitamente se a nova versão corrigiu as falhas na implementação da criptografia, ao que o vendedor respondeu dizendo que é a segunda versão do malware que não deveria mais incluir as vulnerabilidades.

Zeppelin é uma derivado do malware Vega/VegaLocker baseado em Delphi que estava ativo entre 2019 e 2022.

Ele foi usado em ataques de extorsão dupla e seus operadores às vezes pediam resgates que chegavam a $1 milhão.

As compilações do ransomware Zeppelin original foram vendidas por até $2,300 em 2021, depois que seu autor anunciou uma grande atualização do software.

O RaaS ofereceu um acordo relativamente vantajoso para afiliados, permitindo que eles ficassem com 70% dos pagamentos de resgate, com 30% indo para o desenvolvedor.

No verão de 2022, o FBI (Federal Bureau of Investigation) alertou sobre uma nova tática empregada pelos operadores do ransomware Zeppelin, envolvendo várias rodadas de criptografia.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...