DoppelPaymer ransomware renombrado a Grief

Computadora que suena escribe que los operadores de ransomware DoppelPaymer han "renombrado" su producto y ahora el malware pasa a llamarse Grief (o paga o duelo).

La actividad de DoppelPaymer casi se fue a la nada después del escandaloso ataque del ransomware DarkSide a la empresa Colonial Pipeline, después de lo cual estaba prohibido para anunciar y discutir ransomware en los foros de piratería más grandes, y muchos grupos prefirieron retirarse por un tiempo.

El experto de Emsisoft, Fabian Vosar, fue el primero en llamar la atención de Bleeping Computer sobre el hecho de que Grief y DoppelPaymer son la misma amenaza.. Aunque los atacantes intentaron hacer que Grief fuera diferente de DoppelPaymer, la similitud todavía era obvia para los expertos. En particular, los piratas informáticos utilizaron el mismo formato para los archivos cifrados y el mismo canal de distribución de malware – la botnet Dridex.

Las primeras noticias de Grief llegaron a principios de junio. (aunque se encontró una muestra compilada en mayo 17), y luego los investigadores asumieron que era una nueva amenaza.

Pero ahora, Zscaler ha examinado una muestra temprana de Grief y notó que la nota de rescate apunta al sitio de DoppelPaymer, ya que el propio sitio de Grief aparentemente aún no estaba listo en ese momento.

En este momento, en el sitio web de Grief, ya puedes encontrar referencias a dos docenas de víctimas, mientras que el sitio web de DoppelPaymer no se ha actualizado desde mayo 2021.

DoppelPaymer renombrado a Grief

Incluso el captcha en los sitios de ransomware es el mismo.

Adicionalmente, se observa que ambos malware se basan en un código muy similar, cuales, por ejemplo, implementos “algoritmos de cifrado idénticos (2048-RSA de bits y AES de 256 bits) y hashing de importación.” también, Grief y DoppelPaymer usan el GDPR para presionar a las víctimas y recordarles que en caso de una violación de datos, tendrán que enfrentar consecuencias legales.

Grief ransomware es la última versión del ransomware DoppelPaymer con cambios menores en el código y nuevas apariencias.Zscaler dice.

Y agregando que los piratas informáticos han estado manteniendo un perfil bajo últimamente para evitar la atención innecesaria que REvil ransomware recibió después de piratear clientes.. Kaseya, y DarkSide después del ataque al Colonial Pipeline.

Déjame recordarte que también escribí eso Los investigadores vincularon a los desarrolladores de TrickBot con el ransomware Diavol.

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba