شناسایی نسخه پنهان باج افزار DoppelPaymer
به گزارش کارگروه امنیت سایبربان؛ محققان بلیپینگ کامپیوتر در گزارشی اعلام کردند اپراتورهای باج افزار داپل پیمر (DoppelPaymer) اقدام به ریبرندینگ کرده و به گریف (Grief) تغییر نام دادهاند.
فابیان ووسار، پژوهشگر شرکت «Emsisoft»، توجهها را به این واقعیت جلب کرد که گریف و داپل پیمر تهدید یکسانی هستند. اگرچه مهاجمان سعی کردهاند گریف را متفاوت با داپل پیمر جلوه دهند، اما شباهتهای آنها برای متخصصان کاملا محرز شده است. هکرها از فرمت یکسانی برای فایلهای رمزگذاری شده و یک کانال توزیع بدافزار یعنی بات نت «Dridex» بهره بردهاند.
نخستین گزارشها در مورد گریف اوایل ماه ژوئن منتشر شد و در آن زمان محققان تصور کردند این یک تهدید جدید است. اما بهتازگی کارشناسان شرکت امنیت اطلاعات آمریکا «Zscaler» با بررسی نسخه اولیه گریف دریافتهاند که یادداشت باج به سایت داپل پیمر ارجاع داده، چراکه ظاهرا سایت اختصاصی گریف در آن زمان آماده نبوده است. در حال حاضر، در وبسایت گریف، به قربانیان زیادی اشاره شده اما سایت داپیل پیمر از ماه می 2021 بهروزرسانی نشده است.
هر دو بدافزار مبتنی بر یک کد بسیار مشابه هستند که الگوریتمهای رمزگذاری یکسانی را (RSA 2048 بیتی و AES 256 بیتی) اجرا میکند. گریف و داپل پیمر هر دو از GDPR برای تحتفشار قرار دادن قربانیان استفاده کرده و ادعا میکنند نشت داده پیامدهای حقوقی برایشان به دنبال خواهد داشت.
به گفته محققان «Zscaler»، برنامه باج افزاری گریف آخرین نسخه از باج افزار داپل پیمر با تغییرات قابلتوجه در کد و ظاهری جدید است.
به باور آنها، اپراتورهای داپل پیمر، برای اینکه توجهها را به خود جلب نکرده و شناسایی نشوند، ترجیح دادهاند مدتی در سایه بمانند. آنها تمایل ندارند همچون ریویل پس از حمله به مشتریان کاسیا و دارک ساید پس از حمله به کلونیال پایپ لاین در کانون توجه قرار گیرند.