Bir tehdit aktörü, bir siber suç forumunda Zeppelin fidye yazılımı oluşturucusunun kaynak kodunu ve kırık sürümünü yalnızca 500 dolara sattıklarını duyurdu.
Gönderi, tehdit istihbarat şirketi KELA tarafından tespit edildi ve teklifin meşruiyeti henüz doğrulanmadı ancak satıcının ekran görüntüleri paketin gerçek olduğunu gösteriyor.
Paketi satın alan kişi, kötü amaçlı yazılımı yeni bir hizmet olarak fidye yazılımı (RaaS) operasyonu başlatmak veya Zeppelin ailesini temel alan yeni bir dolap yazmak için kullanabilir.
Zeppelin kaynak kodu ve oluşturucusunun satıcısı ‘RET’ tanıtıcısını kullanıyor ve kötü amaçlı yazılımı kendilerinin yazmadığını, yalnızca bunun için bir oluşturucu sürümünü kırmayı başardıklarını açıkladı. RET, paketi lisanssız aldıklarını da sözlerine ekledi.
“İnşaatçıyı ruhsatsız olarak nerede bulduğum benim işim. […] Satıcı, hacker forumunun diğer üyelerine yanıt olarak, inşaatçıyı az önce kırdım” diye yazdı.
Siber suçlu, ürünü tek bir alıcıya satmayı planladıklarını ve işlem tamamlanana kadar satışı donduracaklarını belirtti.
Kasım 2022’de, Zeppelin RaaS operasyonunun sona ermesinin ardından kolluk kuvvetleri ve güvenlik araştırmacıları, Zeppelin’in şifreleme planında, bir şifre çözücü oluşturmalarına ve 2020’den bu yana kurbanlara yardım etmelerine olanak tanıyan yararlanılabilir kusurlar bulduklarını açıkladılar.
Zeppelin forum başlığındaki bir kullanıcı, yeni sürümün kriptografi uygulamasındaki kusurları giderip gidermediğini açıkça soruyor ve satıcı, bunun artık güvenlik açıklarını içermemesi gereken kötü amaçlı yazılımın ikinci sürümü olduğunu söyleyerek yanıt veriyor.
Zeppelin fidye yazılımının arka planı
Zeppelin, 2019 ile 2022 yılları arasında aktif olan Delphi tabanlı Vega/VegaLocker kötü amaçlı yazılım ailesinin bir türevidir. Çifte şantaj saldırılarında kullanılmış ve operatörleri bazen 1 milyon dolara kadar fidye talep etmiştir.
Orijinal Zeppelin fidye yazılımının yapıları, yazarının yazılım için büyük bir güncelleme duyurmasının ardından 2021’de 2.300 dolara kadar satıldı.
RaaS, bağlı kuruluşlara nispeten avantajlı bir anlaşma sunarak fidye ödemelerinin %70’ini kendilerinde tutmalarına ve %30’unun geliştiriciye gitmesine olanak tanıdı.
2022 yazında Federal Soruşturma Bürosu (FBI), Zeppelin fidye yazılımı operatörleri tarafından kullanılan, birden fazla şifreleme turu içeren yeni bir taktik hakkında uyarıda bulundu.