Το ransomware DoppelPaymer μετονομάστηκε σε Grief

Helga SmithΑύγουστος 4, 2021Τελευταία ενημέρωση: Αύγουστος 16, 2021

65 1 λεπτό διάβασμα

Υπολογιστής ύπνου γράφει ότι οι χειριστές ransomware DoppelPaymer έχουν «επανατοποθετήσει» το προϊόν τους και τώρα το κακόβουλο λογισμικό μετονομάζεται σε Grief (ή Πληρωμή ή Θλίψη).

Η δραστηριότητα του DoppelPaymer σχεδόν κατέρρευσε μετά τη σκανδαλώδη επίθεση του ransomware DarkSide στην εταιρεία Colonial Pipeline, μετά το οποίο ήταν απαγορευμένο για να διαφημιστείτε και να συζητήσετε ransomware στα μεγαλύτερα φόρουμ hack, και πολλές ομάδες προτίμησαν να τραβήξουν πίσω για λίγο.

Ο ειδικός της Emsisoft, Fabian Vosar ήταν ο πρώτος που τράβηξε την προσοχή του Bleeping Computer στο γεγονός ότι το Grief και το DoppelPaymer είναι η ίδια απειλή. Αν και οι επιτιθέμενοι προσπάθησαν να κάνουν τη Θλίψη διαφορετική από την DoppelPaymer, η ομοιότητα ήταν ακόμα εμφανής στους ειδικούς. Συγκεκριμένα, οι χάκερ χρησιμοποιούσαν την ίδια μορφή για κρυπτογραφημένα αρχεία και το ίδιο κανάλι διανομής κακόβουλου λογισμικού – το botnet Dridex.

Τα πρώτα νέα του Grief ήρθαν στις αρχές Ιουνίου (αν και βρέθηκε ένα δείγμα που συγκεντρώθηκε τον Μάιο 17), και στη συνέχεια οι ερευνητές υπέθεσαν ότι ήταν μια νέα απειλή.

Αλλά τώρα, Zscaler έχει εξετάσει ένα πρώιμο δείγμα του Grief και παρατήρησα ότι το σημείωμα λύτρων οδηγεί στην τοποθεσία DoppelPaymer, καθώς ο ιστότοπος του Grief προφανώς δεν ήταν ακόμη έτοιμος εκείνη τη στιγμή.

Αυτή τη στιγμή, στην ιστοσελίδα του Grief, μπορείτε ήδη να βρείτε αναφορές σε δύο ντουζίνα θύματα, ενώ ο ιστότοπος DoppelPaymer δεν έχει ενημερωθεί από τον Μάιο 2021.

Το DoppelPaymer μετονομάστηκε σε Θλίψη — Ακόμα και το captcha στους ιστότοπους ransomware είναι το ίδιο.

Επιπλέον, σημειώνεται ότι και τα δύο κακόβουλα προγράμματα βασίζονται σε πολύ παρόμοιο κώδικα, οι οποίες, για παράδειγμα, υλοποιεί “πανομοιότυποι αλγόριθμοι κρυπτογράφησης (2048-bit RSA και 256-bit AES) και εισαγωγή κατακερματισμού.” Επίσης, Ο Grief και ο DoppelPaymer χρησιμοποιούν και τον GDPR για να ασκούν πίεση στα θύματα και να τους υπενθυμίζουν ότι σε περίπτωση παραβίασης δεδομένων, θα πρέπει να αντιμετωπίσουν νομικές συνέπειες.

Το Grief ransomware είναι η τελευταία έκδοση του ransomware DoppelPaymer με μικρές αλλαγές κώδικα και νέα εμφάνιση.Λέει ο Zscaler.

Και προσθέτοντας ότι οι χάκερ διατηρούν χαμηλό προφίλ τον τελευταίο καιρό για να αποφύγουν την περιττή προσοχή που δέχτηκε το REvil ransomware μετά το χάκερ πελατών. Kaseya, και DarkSide μετά την επίθεση στον αποικιακό αγωγό.

Επιτρέψτε μου να σας υπενθυμίσω ότι το έγραψα και αυτό Οι ερευνητές συνέδεσαν τους προγραμματιστές του TrickBot με ransomware Diavol.

Ετικέτες