在一段时间几乎没有活动之后,DoppelPaymer勒索软件开始重新命名,现在更名为 Grief(又名Pay或Grief)。
目前尚不清楚是否有最初的开发人员仍然在该勒索软件即服务 (RaaS)背后做技术支持,但安全研究人员发现的线索表明该“项目”仍在继续。
在DarkSide勒索软件攻击美国最大的燃料管道运营商之一Colonial Pipeline大约一周后,DoppelPaymer的活动在5月中旬开始下降。
自5月6日以来,他们的泄密网站没有更新,看起来DoppelPaymer正在隐藏自己,等待公众对勒索软件攻击的关注消散。
然而,安全研究人员上个月指出,Grief和DoppelPaymer是同一威胁软件的名称。
Emsisoft的Fabian Wosar告诉记者,两者具有相同的加密文件格式并使用相同的分发渠道,即Dridex僵尸网络。
资料来源:Michael Gillespie
尽管威胁行为者努力让Grief看起来像一个单独的RaaS,但与DoppelPaymer的相似之处是如此惊人,以至于无法忽视两者之间的联系。
关于Grief勒索软件的消息是6月出现的,当时人们认为它是一项新威胁,但发现了一个编译日期为5月17日的样本。
云安全公司的恶意软件研究人员分析了早期的Grief勒索软件样本,发现被感染系统上的勒索信指向DoppelPaymer门户网站。
这表明恶意软件开发者可能仍在开发Grief赎金门户,勒索软件威胁组织经常将恶意软件的名字重新命名以转移注意力。
两者之间的联系进一步延伸到它们的泄漏点。尽管从视觉上看它们完全不同,但相似之处比比皆是,例如防止自动抓取网站的验证码。
Grief 使用与 DoppelPaymer 相同的反爬行验证码
此外,这两种勒索软件威胁依赖于高度相似的代码,这些代码实现了“相同的加密算法(2048 位 RSA 和 256 位 AES)、导入哈希和入口点偏移计算”。
另一个相似之处是Grief和DoppelPaymer都使用欧盟通用数据保护条例 (GDPR) 作为警告,未付款的受害者仍将因违规而面临法律处罚。
目前,Grief 泄密网站上列出了二十多名受害者,可见该威胁实施者一直以新名字作案。
该团伙还声称最近袭击了希腊城市塞萨洛尼基,并发布了一份文件档案作为入侵的证据。
网络安全公司表示,Grief 勒索软件是DoppelPaymer勒索软件的最新版本,只有少量代码更改和新的外观主题,并补充说,该团伙一直在暗中隐藏,以避免像REvil因攻破Kaseya和DarkSide 攻击科洛尼而受到关注。
勒索软件团伙更名不一定是要抹去他们的踪迹,这样做可能是为了避免任何会阻止受害者支付赎金的政府制裁。
关于DoppelPaymer
有消息称,2019年BitPaymer勒索软件出现一类新变种,并将其命名为DoppelPaymer。自2019年6月以来,DoppelPaymer涉及了一系列恶意勒索活动,其中就包括美国德克萨斯州埃德库奇市和智利的农业部的袭击事件。
DoppelPaymer与BitPaymer大部分代码是相同的,不过也存在许多差异。BitPaymer之前一直由INDRIK SPIDER恶意组织运营,INDRIK SPIDER是一个复杂的网络犯罪集团,该组织自2014年6月以来就一直在运营Dridex银行木马。
在2015年和2016年,Dridex是全世界违法收益最高的银行木马之一。自2014年以来,INDRIK SPIDER已经通过该木马获得数百万美元的非法利润。经过多年的运营,目前Dridex已经进行了多次更新,变得更加复杂和专业,同时在恶意软件中添加了新的反分析功能。
随着技术手段的发展,勒索软件也在不断升级自身功能,以逃避或绕过软件安全检测,从而对系统安全漏洞实施攻击。因此,企业在进行多层软件安全防御的同时,更要确保软件系统中不存在安全漏洞,从软件内部确保安全。
对软件开发企业来说,加强在软件开发生命周期中的安全检测,如用SAST、SCA、DAST等自动化工具,可以有效减少系统安全漏洞,大大降低软件遭到攻击的几率。
参读链接:
https://www.woocoom.com/b021.html?id=a34c00ded9724b3e904502a7e1613215
https://www.bleepingcomputer.com/news/security/grief-ransomware-operation-is-doppelpaymer-rebranded/
来源:freebuf.com 2021-07-30 10:17:52 by: 中科天齐软件安全中心
请登录后发表评论
注册