改頭換面!DoppelPaymer勒索軟件重命名為Grief

在一段時間幾乎沒有活動之后，DoppelPaymer勒索軟件開始重新命名，現(xiàn)在更名為 Grief(又名Pay或Grief)。

目前尚不清楚是否有最初的開發(fā)人員仍然在該勒索軟件即服務(wù) (RaaS)背后做技術(shù)支持，但安全研究人員發(fā)現(xiàn)的線索表明該“項(xiàng)目”仍在繼續(xù)。

在DarkSide勒索軟件攻擊美國最大的燃料管道運(yùn)營商之一Colonial Pipeline大約一周后，DoppelPaymer的活動在5月中旬開始下降。

自5月6日以來，他們的泄密網(wǎng)站沒有更新，看起來DoppelPaymer正在隱藏自己，等待公眾對勒索軟件攻擊的關(guān)注消散。

然而，安全研究人員上個月指出，Grief和DoppelPaymer是同一威脅軟件的名稱。

Emsisoft的Fabian Wosar告訴記者，兩者具有相同的加密文件格式并使用相同的分發(fā)渠道，即Dridex僵尸網(wǎng)絡(luò)。

資料來源：Michael Gillespie

盡管威脅行為者努力讓Grief看起來像一個單獨(dú)的RaaS，但與DoppelPaymer的相似之處是如此驚人，以至于無法忽視兩者之間的聯(lián)系。

關(guān)于Grief勒索軟件的消息是6月出現(xiàn)的，當(dāng)時人們認(rèn)為它是一項(xiàng)新威脅，但發(fā)現(xiàn)了一個編譯日期為5月17日的樣本。

云安全公司的惡意軟件研究人員分析了早期的Grief勒索軟件樣本，發(fā)現(xiàn)被感染系統(tǒng)上的勒索信指向DoppelPaymer門戶網(wǎng)站。

這表明惡意軟件開發(fā)者可能仍在開發(fā)Grief贖金門戶，勒索軟件威脅組織經(jīng)常將惡意軟件的名字重新命名以轉(zhuǎn)移注意力。

兩者之間的聯(lián)系進(jìn)一步延伸到它們的泄漏點(diǎn)。盡管從視覺上看它們完全不同，但相似之處比比皆是，例如防止自動抓取網(wǎng)站的驗(yàn)證碼。

Grief 使用與 DoppelPaymer 相同的反爬行驗(yàn)證碼

此外，這兩種勒索軟件威脅依賴于高度相似的代碼，這些代碼實(shí)現(xiàn)了“相同的加密算法(2048 位 RSA 和 256 位 AES)、導(dǎo)入哈希和入口點(diǎn)偏移計(jì)算”。

另一個相似之處是Grief和DoppelPaymer都使用歐盟通用數(shù)據(jù)保護(hù)條例 (GDPR) 作為警告，未付款的受害者仍將因違規(guī)而面臨法律處罰。

目前，Grief 泄密網(wǎng)站上列出了二十多名受害者，可見該威脅實(shí)施者一直以新名字作案。

該團(tuán)伙還聲稱最近襲擊了希臘城市塞薩洛尼基，并發(fā)布了一份文件檔案作為入侵的證據(jù)。

網(wǎng)絡(luò)安全公司表示，Grief 勒索軟件是DoppelPaymer勒索軟件的最新版本，只有少量代碼更改和新的外觀主題，并補(bǔ)充說，該團(tuán)伙一直在暗中隱藏，以避免像REvil因攻破Kaseya和DarkSide 攻擊科洛尼而受到關(guān)注。

勒索軟件團(tuán)伙更名不一定是要抹去他們的蹤跡，這樣做可能是為了避免任何會阻止受害者支付贖金的政府制裁。

關(guān)于DoppelPaymer

有消息稱，2019年BitPaymer勒索軟件出現(xiàn)一類新變種，并將其命名為DoppelPaymer。自2019年6月以來，DoppelPaymer涉及了一系列惡意勒索活動，其中就包括美國德克薩斯州埃德庫奇市和智利的農(nóng)業(yè)部的襲擊事件。

DoppelPaymer與BitPaymer大部分代碼是相同的，不過也存在許多差異。BitPaymer之前一直由INDRIK SPIDER惡意組織運(yùn)營，INDRIK SPIDER是一個復(fù)雜的網(wǎng)絡(luò)犯罪集團(tuán)，該組織自2014年6月以來就一直在運(yùn)營Dridex銀行木馬。

在2015年和2016年，Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來，INDRIK SPIDER已經(jīng)通過該木馬獲得數(shù)百萬美元的非法利潤。經(jīng)過多年的運(yùn)營，目前Dridex已經(jīng)進(jìn)行了多次更新，變得更加復(fù)雜和專業(yè)，同時在惡意軟件中添加了新的反分析功能。

隨著技術(shù)手段的發(fā)展，勒索軟件也在不斷升級自身功能，以逃避或繞過軟件安全檢測，從而對系統(tǒng)安全漏洞實(shí)施攻擊。因此，企業(yè)在進(jìn)行多層軟件安全防御的同時，更要確保軟件系統(tǒng)中不存在安全漏洞，從軟件內(nèi)部確保安全。

對軟件開發(fā)企業(yè)來說，加強(qiáng)在軟件開發(fā)生命周期中的安全檢測，如用SAST、SCA、DAST等自動化工具，可以有效減少系統(tǒng)安全漏洞，大大降低軟件遭到攻擊的幾率。

參讀鏈接：

https://www.woocoom.com/b021.html?id=a34c00ded9724b3e904502a7e1613215

https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/