一名威胁行为者仅以 500 美元的价格出售了 Zeppelin 的源代码和破解的构建器，Zeppelin 是一种俄罗斯勒索软件，过去曾多次针对关键基础设施领域的美国企业和组织发起攻击。

此次出售可能标志着以 Zeppelin 为特色的勒索软件即服务 (RaaS) 的复兴，当时许多人认为该恶意软件基本上无法运行且已失效。

RAMP 犯罪论坛上的减价销售

以色列网络安全公司 KELA 的研究人员于 12 月底发现一名威胁行为者使用“RET”句柄，在 RAMP 上出售 Zeppelin2 的源代码和构建器。RAMP 是一个俄罗斯网络犯罪论坛，该论坛曾经托管过 Babuk 勒索软件的泄露网站。几天后，即 12 月 31 日，威胁行为者声称已将恶意软件出售给 RAMP 论坛成员。

KELA 威胁研究总监Victoria Kivilevich表示，目前尚不清楚威胁行为者如何或从何处获得 Zeppelin 的代码和构建器。“卖家明确表示，他们‘遇到’了该构建器并破解了它，从而泄露了用 Delphi 编写的源代码，”基维列维奇说。她补充道，RET 已明确表示他们不是该恶意软件的作者。

出售的代码似乎是 Zeppelin 版本的代码，该版本纠正了原始版本加密例程中的多个弱点。这些弱点使得网络安全公司 Unit221B 的研究人员能够破解 Zeppelin 的加密密钥，并在近两年的时间里悄悄帮助受害者组织解密锁定的数据。在 Unit22B秘密解密工具的消息于2022 年 11 月公开后，Zeppelin 相关的 RaaS 活动有所下降。

Kivilevich 表示，RET 出售的代码的唯一信息是源代码的屏幕截图。她说，仅根据这些信息，KELA 很难评估该代码是否真实。然而，威胁行为者 RET 已经使用不同的账号活跃在至少两个其他网络犯罪论坛上，并且似乎已经在其中一个论坛上建立了某种可信度。

“在其中一项交易中，他拥有良好的声誉，并且通过论坛中间人服务确认了三项成功交易，这为交易增加了一些可信度，”基维列维奇说。

“KELA 还看到了一位买家对他的一款产品的中立评论，该产品似乎是一种防病毒绕过解决方案。该评论称，它能够中和类似于 Windows Defender 的防病毒软件，但它无法在“严重的情况下工作”。 ‘ 防病毒软件，”她补充道。

曾经强大的威胁崩溃并烧伤

Zeppelin 是勒索软件，威胁行为者至少可以追溯到 2019 年，曾在对美国目标的多次攻击中使用过。该恶意软件是 VegaLocker 的衍生品，VegaLocker 是一种用 Delphi 编程语言编写的勒索软件。2022 年 8 月，美国网络安全和基础设施安全局 (CISA) 和 FBI 发布了 Zeppelin 攻击者用于传播恶意软件和感染系统的妥协指标以及策略、技术和程序 (TTP) 的详细信息。

当时，CISA 称该恶意软件被用于针对美国目标的多次攻击，包括国防承包商、制造商、教育机构、技术公司，尤其是医疗和保健行业的组织。在涉及 Zeppelin 的攻击中，最初的赎金要求从几千美元到有时超过一百万美元不等。

Kivilevich 表示，Zeppelin 源代码的购买者在获得恶意软件代码后很可能会用于勒索攻击。

“过去，我们看到黑客在其攻击中重复使用各类恶意软件的源代码，因此买家可能会以相同的方式使用代码，”她说。“例如，泄露的LockBit 3.0构建器被 Bl00dy 采用，LockBit 本身使用泄露的 Conti 源代码和他们从 BlackMatter 购买的代码，最近的例子之一是声称购买了 Hive 源代码的 Hunters International。”

Kivilevich 表示，目前还不清楚为什么威胁行为者 RET 可能仅以 500 美元的价格出售 Zeppelin 的源代码和构建器。“很难说，”她说。“可能他认为它不够复杂，无法支付更高的价格——考虑到他在破解构建器后设法获得了源代码。但我们不想在这里猜测。”