在一段時間幾乎沒有活動之後，DoppelPaymer勒索軟體開始重新命名，現在更名為 Grief(又名Pay或Grief)。

目前尚不清楚是否有最初的開發人員仍然在該勒索軟體即服務 (RaaS)背後做技術支援，但安全研究人員發現的線索表明該“專案”仍在繼續。

在DarkSide勒索軟體攻擊美國最大的燃料管道運營商之一Colonial Pipeline大約一週後，DoppelPaymer的活動在5月中旬開始下降。

自5月6日以來，他們的洩密網站沒有更新，看起來DoppelPaymer正在隱藏自己，等待公眾對勒索軟體攻擊的關注消散。

然而，安全研究人員上個月指出，Grief和DoppelPaymer是同一威脅軟體的名稱。

Emsisoft的Fabian Wosar告訴記者，兩者具有相同的加密檔案格式並使用相同的分發渠道，即Dridex殭屍網路。

資料來源：Michael Gillespie

儘管威脅行為者努力讓Grief看起來像一個單獨的RaaS，但與DoppelPaymer的相似之處是如此驚人，以至於無法忽視兩者之間的聯絡。

關於Grief勒索軟體的訊息是6月出現的，當時人們認為它是一項新威脅，但發現了一個編譯日期為5月17日的樣本。

雲安全公司的惡意軟體研究人員分析了早期的Grief勒索軟體樣本，發現被感染系統上的勒索信指向DoppelPaymer入口網站。

這表明惡意軟體開發者可能仍在開發Grief贖金門戶，勒索軟體威脅組織經常將惡意軟體的名字重新命名以轉移注意力。

兩者之間的聯絡進一步延伸到它們的洩漏點。儘管從視覺上看它們完全不同，但相似之處比比皆是，例如防止自動抓取網站的驗證碼。

Grief 使用與 DoppelPaymer 相同的反爬行驗證碼

此外，這兩種勒索軟體威脅依賴於高度相似的程式碼，這些程式碼實現了“相同的加密演算法(2048 位 RSA 和 256 位 AES)、匯入雜湊和入口點偏移計算”。

另一個相似之處是Grief和DoppelPaymer都使用歐盟通用資料保護條例 (GDPR) 作為警告，未付款的受害者仍將因違規而面臨法律處罰。

目前，Grief 洩密網站上列出了二十多名受害者，可見該威脅實施者一直以新名字作案。

該團伙還聲稱最近襲擊了希臘城市塞薩洛尼基，併發布了一份檔案檔案作為入侵的證據。

網路安全公司表示，Grief 勒索軟體是DoppelPaymer勒索軟體的最新版本，只有少量程式碼更改和新的外觀主題，並補充說，該團伙一直在暗中隱藏，以避免像REvil因攻破Kaseya和DarkSide 攻擊科洛尼而受到關注。

勒索軟體團伙更名不一定是要抹去他們的蹤跡，這樣做可能是為了避免任何會阻止受害者支付贖金的政府制裁。

關於DoppelPaymer

有訊息稱，2019年BitPaymer勒索軟體出現一類新變種，並將其命名為DoppelPaymer。自2019年6月以來，DoppelPaymer涉及了一系列惡意勒索活動，其中就包括美國德克薩斯州埃德庫奇市和智利的農業部的襲擊事件。

DoppelPaymer與BitPaymer大部分程式碼是相同的，不過也存在許多差異。BitPaymer之前一直由INDRIK SPIDER惡意組織運營，INDRIK SPIDER是一個複雜的網路犯罪集團，該組織自2014年6月以來就一直在運營Dridex銀行木馬。

在2015年和2016年，Dridex是全世界違法收益最高的銀行木馬之一。自2014年以來，INDRIK SPIDER已經透過該木馬獲得數百萬美元的非法利潤。經過多年的運營，目前Dridex已經進行了多次更新，變得更加複雜和專業，同時在惡意軟體中新增了新的反分析功能。

隨著技術手段的發展，勒索軟體也在不斷升級自身功能，以逃避或繞過軟體安全檢測，從而對系統安全漏洞實施攻擊。因此，企業在進行多層軟體安全防禦的同時，更要確保軟體系統中不存在安全漏洞，從軟體內部確保安全。

對軟體開發企業來說，加強在軟體開發生命週期中的安全檢測，如用 SAST、SCA、DAST等自動化工具，可以有效減少系統安全漏洞，大大降低軟體遭到攻擊的機率。

參讀連結：

https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/

改頭換面!DoppelPaymer勒索軟體重新命名為Grief