30/07/21
/hack11.png?width=400&name=hack11.png)
После периода почти полного отсутствия активности вымогательская группировка DoppelPaymer осуществила ребрендинг, сменив название на Grief (также известное как Pay or Grief). Остается неизвестным, стоит ли кто-нибудь из первоначальных разработчиков вымогательского ПО за изменениями, но ключи, обнаруженные исследователями в области безопасности, указывают на продолжение «проекта».
Активность DoppelPaymer начала снижаться в середине мая, примерно через неделю после атаки программы-вымогателя DarkSide на одного из крупнейших операторов топливных трубопроводов в США Colonial Pipeline. С 6 мая на их сайте утечек данных не было обновлений. Группировка DoppelPaymer предположительно приняла решение переждать, пока внимание общественности к атакам программ-вымогателей ослабеет.
О группировке Grief стало известно в июне нынешнего года. Хакеры предположительно похитили данные 5 организаций, в том числе одной в Мексике. По словам экспертов, DoppelPaymer и Grief использовали один и тот же зашифрованный формат файла и один и тот же канал распространения — ботнет Dridex. Несмотря на попытки злоумышленников сделать Grief похожей на отдельное «вымогательское-ПО-как-услугу» (RaaS), сходство с DoppelPaymer невозможно игнорировать.
Кроме того, исследователи в области кибербезопасности из компании Zscaler проанализировали ранний образец вымогателя Grief и заметили, что записка с требованием выкупа указывала на портал DoppelPaymer. Кроме того, DoppelPaymer и Grief основаны на очень похожем коде, который реализует «идентичные алгоритмы шифрования (2048-битный RSA и 256-битный AES), хеширование импорта и расчет смещения точки входа».
Еще одно сходство заключается в том, что и Grief, и DoppelPaymer используют упоминание «Общего регламента по защите данных» (General Data Protection Regulation, GDPR) в качестве предупреждения о том, что в случае неуплаты выкупа жертвам все равно придется столкнуться с судебными штрафами из-за утечки данных.
