Вымогательская группировка DoppelPaymer продолжает осуществлять атаки, но уже под названием Grief

После периода почти полного отсутствия активности вымогательская группировка DoppelPaymer осуществила ребрендинг, сменив название на Grief (также известное как Pay or Grief). Остается неизвестным, стоит ли кто-нибудь из первоначальных разработчиков вымогательского ПО за изменениями, но ключи, обнаруженные исследователями в области безопасности, указывают на продолжение «проекта».

Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки программы-вымогателя DarkSide на одного из крупнейших операторов топливных трубопроводов в США Colonial Pipeline. С 6 мая на их сайте утечек данных не было обновлений. Группировка DoppelPaymer предположительно приняла решение переждать, пока внимание общественности к атакам программ-вымогателей ослабеет.

О группировке Grief стало известно в июне нынешнего года. Хакеры предположительно похитили данные 5 организаций, в том числе одной в Мексике. По словам экспертов, DoppelPaymer и Grief использовали один и тот же зашифрованный формат файла и один и тот же канал распространения — ботнет Dridex. Несмотря на попытки злоумышленников сделать Grief похожей на отдельное «вымогательское-ПО-как-услугу» (RaaS), сходство с DoppelPaymer невозможно игнорировать.

Кроме того, исследователи в области кибербезопасности из компании Zscaler проанализировали ранний образец вымогателя Grief и заметили, что записка с требованием выкупа указывала на портал DoppelPaymer. Кроме того, DoppelPaymer и Grief основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».

Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют упоминание «Общего регламента по защите данных» (General Data Protection Regulation, GDPR) в качестве предупреждения о том, что в случае неуплаты выкупа жертвам все равно придется столкнуться с судебными штрафами из-за утечки данных.