حاول المهاجمون إخفاء Grief كبرنامج فدية منفصل كخدمة.
بعد فترة من الخمول شبه الكامل ، أعادت مجموعة برامج الفدية DoppelPaymer تسمية نفسها إلى Grief (المعروف أيضًا باسم Pay أو Grief). لا يزال من غير المعروف ما إذا كان أي من مطوري برامج الفدية الأصلية وراء التغييرات ، ولكن الأدلة التي وجدها الباحثون الأمنيون تشير إلى استمرار "المشروع".
بدأ نشاط DoppelPaymer في الانخفاض في منتصف مايو ، بعد حوالي أسبوع من الهجوم ، قام برنامج الابتزاز DarkSide على أحد أكبر مشغلي أنابيب الوقود في خط الأنابيب الاستعماري الأمريكي. لم تكن هناك تحديثات على موقع خرق البيانات الخاص بهم منذ 6 مايو. يُزعم أن مجموعة DoppelPaymer قررت الانتظار حتى يتضاءل انتباه الجمهور لهجمات برامج الفدية.
أصبحت مجموعة الحزن معروفة في يونيو من هذا العام. يُزعم أن المتسللين سرقوا بيانات من 5 منظمات ، بما في ذلك واحدة في المكسيك. وفقًا للخبراء ، استخدم DoppelPaymer و Grief نفس تنسيق الملف المشفر ونفس قناة التوزيع - Dridex botnet. على الرغم من محاولات المهاجمين جعل Grief تبدو كبرنامج رانسومواري كخدمة مستقل (RaaS) ، لا يمكن تجاهل أوجه التشابه مع DoppelPaymer.
بالإضافة إلى ذلك ، قام باحثو الأمن السيبراني في Zscaler بتحليل عينة مبكرة من Grief ransomware ولاحظوا أن مذكرة الفدية أشارت إلى بوابة DoppelPaymer. بالإضافة إلى ذلك ، يعتمد DoppelPaymer و Grief على كود مشابه جدًا يقوم بتنفيذ "خوارزميات تشفير متطابقة (2048 بت RSA و 256 بت AES) ، تجزئة الاستيراد ، وحساب إزاحة نقطة الدخول."
تشابه آخر هو أن كلا من Grief و DoppelPaymer يستخدمان الإشارة إلى اللائحة العامة لحماية البيانات (GDPR) كتحذير من أن الضحايا سيظلون يواجهون غرامات قانونية إذا لم يتم دفع الفدية - لتسريب البيانات.
0 تعليقات