Un attore di minaccia ha annunciato su un forum di cybercriminalità di aver venduto il codice sorgente e una versione crackata del costruttore del ransomware Zeppelin per soli 500 dollari. La notizia è stata rilevata dalla società di intelligence sulle minacce KELA, e sebbene la legittimità dell’offerta non sia stata convalidata, gli screenshot del venditore indicano che il pacchetto è reale.
Dettagli della Vendita
Chiunque abbia acquistato il pacchetto potrebbe utilizzare il malware per avviare una nuova operazione di ransomware-as-a-service (RaaS) o scrivere un nuovo locker basato sulla famiglia Zeppelin. Il venditore del codice sorgente e del costruttore di Zeppelin, che usa il nome ‘RET’, ha chiarito di non essere l’autore del malware, ma di essere riuscito semplicemente a crackare una versione del costruttore per esso. RET ha aggiunto di aver acquisito il pacchetto senza licenza.
Sfondo del Ransomware Zeppelin
Zeppelin è un derivato della famiglia di malware Vega/VegaLocker basata su Delphi, attiva tra il 2019 e il 2022. È stato utilizzato in attacchi di doppia estorsione e talvolta i suoi operatori hanno chiesto riscatti fino a 1 milione di dollari. Le build del ransomware Zeppelin originale sono state vendute fino a 2.300 dollari nel 2021, dopo che l’autore aveva annunciato un importante aggiornamento del software.
Il RaaS offriva un accordo relativamente vantaggioso per gli affiliati, consentendo loro di trattenere il 70% dei pagamenti del riscatto, con il 30% che andava allo sviluppatore.
Nell’estate del 2022, il Federal Bureau of Investigation (FBI) ha avvertito di una nuova tattica impiegata dagli operatori del ransomware Zeppelin che coinvolgeva più round di crittografia.