Un acteur de la menace a annoncé sur un forum de cybercriminalité qu’il avait vendu le code source et une version piratée du générateur de ransomware Zeppelin pour seulement 500$.

Le message a été repéré par la société de renseignement sur les menaces KELA et bien que la légitimité de l’offre n’ait pas été validée, les captures d’écran du vendeur indiquent que le colis est réel.

Celui qui a acheté le package pouvait utiliser le logiciel malveillant pour lancer une nouvelle opération de ransomware en tant que service (RaaS) ou écrire un nouveau casier basé sur la famille Zeppelin.

Article sur le forum faisant la promotion du code source de Zeppelin pour 500 $

Le vendeur du code source et du constructeur de Zeppelin utilise le descripteur  » RET  » et a précisé qu’il n’était pas l’auteur du logiciel malveillant, mais qu’il avait simplement réussi à déchiffrer une version du constructeur pour celui-ci. RET a ajouté qu’ils avaient acquis le package sans licence.

« Là où j’ai obtenu le constructeur sans licence, c’est mon affaire. […] Je viens de craquer le constructeur », a écrit le vendeur dans une réponse aux autres membres du forum des hackers.

Le cybercriminel a indiqué qu’il avait l’intention de vendre le produit à un seul acheteur et qu’il gèlerait la vente jusqu’à la fin de la transaction.

Captures d’écran du constructeur

En novembre 2022, à la suite de l’arrêt de l’opération Zeppelin RaaS, des chercheurs en application de la loi et en sécurité ont révélé qu’ils avaient trouvé des failles exploitables dans le schéma de cryptage de Zeppelin, leur permettant de créer un décrypteur et d’aider les victimes depuis 2020.

Un utilisateur sur le fil de discussion du forum Zeppelin demande explicitement si la nouvelle version a corrigé les failles dans l’implémentation de la cryptographie, ce à quoi le vendeur répond en disant que c’est la deuxième version du malware qui ne devrait plus inclure les vulnérabilités.

Contexte du ransomware Zeppelin
Zeppelin est un dérivé de la famille de logiciels malveillants Vega/VegaLocker basée sur Delphi qui était active entre 2019 et 2022. Il a été utilisé dans des attaques de double extorsion et ses opérateurs ont parfois demandé des rançons pouvant atteindre 1 million de dollars.

Les versions du ransomware Zeppelin original ont été vendues jusqu’à 2300 $en 2021, après que son auteur eut annoncé une mise à jour majeure du logiciel.

Le RaaS a offert un accord relativement avantageux aux affiliés, leur permettant de conserver 70% des paiements de rançon, 30% allant au développeur.

À l’été 2022, le Federal Bureau of Investigation (FBI) a mis en garde contre une nouvelle tactique employée par les opérateurs de ransomwares Zeppelin impliquant plusieurs cycles de cryptage.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *