Pärast mõnda aega tegevusetust või tegevusetust DoppelPaymeri lunavaraoperatsioon muutis kaubamärki, kandes nüüd nime Grief (tuntud ka kui Pay või Grief).
On ebaselge, kas selle lunavara-as-a-service (RaaS) taga on endiselt mõni algsetest arendajatest, kuid turvauurijate avastatud vihjed viitavad 'projekti' jätkumisele.
DoppelPaymeri äri hakkas langema mai keskel, umbes nädal pärast DarkSide'i lunavararünnakut USA ühele suurimale torujuhtme operaatorile Colonial Pipeline.
Kuna 6. maid pole nende lekkesaiti värskendusi tehtud, tundus, et DoppelPaymeri jõuk astub sammu tagasi, lootes, et avalikkuse tähelepanu lunavararünnakutele hajub.
Turvauurijad juhtisid aga eelmisel kuul tähelepanu sellele, et Grief ja DoppelPaymer on sama ohu nimed.
Fabian Wosar Emsisoft ütles BleepingComputerile, et need kaks jagasid sama krüptitud failivormingut ja kasutasid sama turustuskanalit, Dridexi robotvõrku.
Vaatamata ohunäitleja püüdlustele muuta Grief omaette RaaS-iks, on sarnasused DoppelPaymeriga nii silmatorkavad, et nende kahe vahelist seost on võimatu ignoreerida.
Uudised Griefi lunavara kohta ilmusid juuni alguses, kui arvati, et tegemist on uue operatsiooniga, kuid leiti näidis, mille valmimiskuupäev oli 17. mai.
Pilveturbefirma Zscaleri pahavarauurijad analüüsisid Griefi lunavara esimest proovi ja märkisid, et nakatunud süsteemide kohta väljastatud lunarahateatis viitas DoppelPaymeri portaalile.
See viitab sellele, et pahavara autor võis endiselt arendada Griefi lunavaraportaali. Lunavara ohurühmad nimetavad pahavara sageli ümbersuunamiseks ümber '- Zscaler
Nende kahe vaheline ühendus ulatub kaugemale, nende põgenemiskohtadeni. Kuigi visuaalselt ei saaks need olla erinevad, on palju sarnasusi, näiteks captcha-kood, mis takistab saidi automaatset roomamist.
Lisaks põhinevad kaks lunavaraohtu väga sarnasel koodil, mis rakendab 'identseid krüpteerimisalgoritme (RSA 2048-bitine ja AES 256-bitine), impordi räsi ja sisendpunkti nihke arvutamist'.
Teine sarnasus on see, et nii Grief kui ka DoppelPaymer kasutavad Euroopa Liidu andmekaitse üldmäärust (GDPR) hoiatuseks, et mittemaksvaid ohvreid ootavad rikkumise tõttu siiski ees juriidilised karistused.
Neid kahte eristab nii vähe ja see on enamasti kosmeetiline, et pahavarauurijad usuvad kindlalt, et tegemist on sama toiminguga erineva nime all.
Näiteks läks Grief üle krüptovaluutale Monero, mis võib olla kaitsemeede võimalike politseiaktsioonide vastu, mis võivad viia juba kogutud lunaraha arestimiseni.
Teine erinevus seisneb selles, et Grief ransomware kasutab oma saidile lekkinud ohvrite andmete kohta terminit 'sorrows' kompromissi tõestuseks ('käimasolevad kurbused') või karistuseks lunaraha maksmata jätmise eest ('full sorrows').
Hetkel on Griefi põgenemissaidil kirjas üle kahe tosina ohvri, mis näitab, et ähvardusnäitleja on uue nime all usin töötanud. Näib, et jõuk pretendeerib ka hiljutisele rünnakule Kreeka linna Thessaloniki vastu, postitades sissetungi tõendina toimiku.
Zscaler märgib, et 'Grief lunavara on DoppelPaymeri lunavara uusim versioon väikeste koodimuudatuste ja uue kosmeetilise teemaga', lisades, et jõuk jäi varju, et vältida tähelepanu, mida REvili sai Kaseya häkkimise ja DarkSide'i Colonial Tubatura ründamise eest.
Lunavarajõugu rebränding ei pruugi ilmtingimata püüda oma jälgi varjata ja seda võiks teha selleks, et vältida valitsuse sanktsioone, mis takistaksid ohvritel lunaraha maksmast.
Lühike loetelu viiest räsist Zscaleri jäädvustatud proovide jaoks on leitav ajaveebi postitusest.
Mida sa arvad?
