ГлавнаябезопасностьDoppelPaymer переименован в программу-вымогатель Grief

DoppelPaymer переименован в программу-вымогатель Grief

После периода минимальной активности или отсутствия активности компания-вымогатель DoppelPaymer сделала шаг по ребрендингу, который теперь называется Grief (также известный как Pay or Grief).

ДоппельПаймер Гриф

См. Также: Haron & BlackMatter: новые группы программ-вымогателей, которые "принесли" в июле

Неясно, стоит ли кто-нибудь из первоначальных разработчиков по-прежнему за этим. вымогатели-как-услуга (RaaS), но данные, обнаруженные исследователями безопасности, свидетельствуют о продолжении «проекта».

Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки программы-вымогателя DarkSide на Colonial Pipeline.

Без обновлений на их сайте утечки с 6 мая, похоже, DoppelPaymer сделал шаг назад, ожидая, что общественность будет меньше внимания уделять атакам программ-вымогателей.

Однако исследователи безопасности в прошлом месяце отметили, что Grief и DoppelPaymer были одними и теми же программами-вымогателями.

Фабиан Восар из Emsisoft сообщил BleepingComputer, что у них один и тот же зашифрованный формат файлов, и они используют один и тот же канал распространения - ботнет Dridex.

См. Также: Программа-вымогатель LockBit: шифрует домены Windows с помощью групповых политик.

Несмотря на угрожающую попытку сделать Grief похожей на отдельный RaaS, сходство с DoppelPaymer настолько разительно, что невозможно исключить связь между ними.

Программа-вымогатель News of the Grief появилась в начале июня, когда это считалось новым бизнесом, но был обнаружен образец с датой 17 мая.

Исследователи вредоносного ПО из компании Zscaler, занимающейся облачной безопасностью, проанализировали первый образец вымогателя Grief и заметили, что записка о выкупе, упавшая на зараженные системы, указывала на портал DoppelPaymer.

Связь между ними простирается дальше до мест утечки. Хотя визуально они не могут быть более разными, у них много общего, например, код капчи, который предотвращает автоматическое сканирование сайта.

Кроме того, две угрозы вымогателей основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES) и импортный хэш».

Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют Общие правила защиты данных Европейского Союза (GDPR) в качестве предупреждения о том, что жертвы, которые не платят, все равно столкнутся с юридическими санкциями за нарушение.

Их настолько мало, что их различают, и они в основном «декоративные», что исследователи твердо уверены, что это одна и та же группа с другим названием.

В настоящее время на сайте утечки Grief указано более двух десятков жертв, что указывает на то, что угрожающий агент был занят новым именем. Похоже, что банда также заявляет о недавнем нападении в муниципалитете Салоники, публикуя файловый архив в качестве доказательства вторжения.

См. Также: Атака программ-вымогателей Grief в муниципалитете Салоники - Чего хотят хакеры?

Ребрендинг банды вымогателей нужен не только для того, чтобы стереть ее следы, но и для того, чтобы избежать каких-либо санкций со стороны правительства, которые могут помешать жертвам платить выкуп.

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ