改頭換面!DoppelPaymer勒索軟體重新命名為Grief
在一段時間幾乎沒有活動之後,DoppelPaymer勒索軟體開始重新命名,現在更名為 Grief(又名Pay或Grief)。
目前尚不清楚是否有最初的開發人員仍然在該勒索軟體即服務 (RaaS)背後做技術支援,但安全研究人員發現的線索表明該“專案”仍在繼續。
在DarkSide勒索軟體攻擊美國最大的燃料管道運營商之一Colonial Pipeline大約一週後,DoppelPaymer的活動在5月中旬開始下降。
自5月6日以來,他們的洩密網站沒有更新,看起來DoppelPaymer正在隱藏自己,等待公眾對勒索軟體攻擊的關注消散。
然而,安全研究人員上個月指出,Grief和DoppelPaymer是同一威脅軟體的名稱。
Emsisoft的Fabian Wosar告訴記者,兩者具有相同的加密檔案格式並使用相同的分發渠道,即Dridex殭屍網路。
資料來源:Michael Gillespie
儘管威脅行為者努力讓Grief看起來像一個單獨的RaaS,但與DoppelPaymer的相似之處是如此驚人,以至於無法忽視兩者之間的聯絡。
關於Grief勒索軟體的訊息是6月出現的,當時人們認為它是一項新威脅,但發現了一個編譯日期為5月17日的樣本。
雲安全公司的惡意軟體研究人員分析了早期的Grief勒索軟體樣本,發現被感染系統上的勒索信指向DoppelPaymer入口網站。
這表明惡意軟體開發者可能仍在開發Grief贖金門戶,勒索軟體威脅組織經常將惡意軟體的名字重新命名以轉移注意力。
兩者之間的聯絡進一步延伸到它們的洩漏點。儘管從視覺上看它們完全不同,但相似之處比比皆是,例如防止自動抓取網站的驗證碼。
Grief 使用與 DoppelPaymer 相同的反爬行驗證碼
此外,這兩種勒索軟體威脅依賴於高度相似的程式碼,這些程式碼實現了“相同的加密演算法(2048 位 RSA 和 256 位 AES)、匯入雜湊和入口點偏移計算”。
另一個相似之處是Grief和DoppelPaymer都使用歐盟通用資料保護條例 (GDPR) 作為警告,未付款的受害者仍將因違規而面臨法律處罰。
目前,Grief 洩密網站上列出了二十多名受害者,可見該威脅實施者一直以新名字作案。
該團伙還聲稱最近襲擊了希臘城市塞薩洛尼基,併發布了一份檔案檔案作為入侵的證據。
網路安全公司表示,Grief 勒索軟體是DoppelPaymer勒索軟體的最新版本,只有少量程式碼更改和新的外觀主題,並補充說,該團伙一直在暗中隱藏,以避免像REvil因攻破Kaseya和DarkSide 攻擊科洛尼而受到關注。
勒索軟體團伙更名不一定是要抹去他們的蹤跡,這樣做可能是為了避免任何會阻止受害者支付贖金的政府制裁。
關於DoppelPaymer
有訊息稱,2019年BitPaymer勒索軟體出現一類新變種,並將其命名為DoppelPaymer。自2019年6月以來,DoppelPaymer涉及了一系列惡意勒索活動,其中就包括美國德克薩斯州埃德庫奇市和智利的農業部的襲擊事件。
DoppelPaymer與BitPaymer大部分程式碼是相同的,不過也存在許多差異。BitPaymer之前一直由INDRIK SPIDER惡意組織運營,INDRIK SPIDER是一個複雜的網路犯罪集團,該組織自2014年6月以來就一直在運營Dridex銀行木馬。
在2015年和2016年,Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來,INDRIK SPIDER已經透過該木馬獲得數百萬美元的非法利潤。經過多年的運營,目前Dridex已經進行了多次更新,變得更加複雜和專業,同時在惡意軟體中新增了新的反分析功能。
隨著技術手段的發展,勒索軟體也在不斷升級自身功能,以逃避或繞過軟體安全檢測,從而對系統安全漏洞實施攻擊。因此,企業在進行多層軟體安全防禦的同時,更要確保軟體系統中不存在安全漏洞,從軟體內部確保安全。
對軟體開發企業來說,加強在軟體開發生命週期中的安全檢測,如用 SAST、SCA、DAST等自動化工具,可以有效減少系統安全漏洞,大大降低軟體遭到攻擊的機率。
參讀連結:
https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70000012/viewspace-2784254/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- GlobeImposter勒索熱度不減,改頭換面再出5.1變種
- 改頭換面為哪般,最像Android的Windows——Win11升級安裝體驗AndroidWindows
- 合法軟體淪為勒索工具
- 面對勒索軟體,該怎麼防範~
- 破解勒索軟體
- 全球最大的保險巨頭AXA遭勒索軟體攻擊
- 面對勒索軟體,金融機構該怎麼辦?
- 將RAC軟體轉換為單例項軟體單例
- 面對勒索軟體 如何保護資料備份安全?
- 勒索4166萬!貨幣兌換巨頭Travelex停擺並面臨資料洩露
- 勒索軟體簡介:BlackMatter
- 勒索軟體屢禁不止 如何降低遭受勒索軟體攻擊的風險?
- 頭條終面:寫個訊息中介軟體
- 檔案批次重新命名軟體:Renamer——MacwMac
- 報告顯示 WannaCry 依然是最讓人頭疼的勒索軟體
- 浪子回頭,HildaCrypt 勒索軟體開發者免費釋出解密金鑰LDA解密
- Android勒索軟體研究報告Android
- 勒索軟體攻擊影響
- Check Point:單反相機已成為勒索軟體攻擊目標
- 美媒:為什麼政府如此容易受到勒索軟體攻擊?
- 波音遭遇勒索軟體攻擊, WannaCry 成為最大懷疑物件物件
- 勒索軟體即服務是企業面臨的全新重大問題
- 勒索軟體產業化的感想產業
- 為什麼網路安全防禦無法抵禦勒索軟體?
- 勒索軟體一季度報告:只有8%的贖金換回了資料
- “雙重勒索”勒索軟體結合加密與資料盜竊加密
- 勒索軟體攻擊的階段:從最初訪問到勒索
- InnoDB Buffer Pool改進LRU頁面置換
- Hive勒索軟體升級為Rust,採用更復雜的加密方法HiveRust加密
- Veeam:談談勒索軟體即服務
- Cybersecurity Insiders:2017年勒索軟體報告IDE
- McAfee針對GandCrab勒索軟體的分析
- 2020 年勒索軟體將繼續流行
- 銘說 | 新型勒索軟體PYSA淺析
- 殭屍勒索軟體Virobot肆虐微軟Outlook微軟
- SQLServer資料庫中了勒索病毒加密,副檔名改為LockbitSQLServer資料庫加密
- SQLServer資料庫中了勒索病毒加密,副檔名改為ReadInstructionsSQLServer資料庫加密Struct
- 批次重新命名軟體:A Better Finder Rename mac中文版Mac