Le gang de ransomware DoppelPaymer devient Grief

0

Après une période de peu ou pas d’activité, l’opération de ransomware DoppelPaymer a fait un changement de marque, désormais connue sous le nom de Grief (a.k.a. Pay or Grief).

Il n’est pas clair si l’un des développeurs d’origine est toujours derrière ce ransomware-as-a-service (RaaS), mais des indices découverts par les chercheurs en sécurité indiquent une poursuite du «projet».

L’activité de DoppelPaymer a commencé à décliner à la mi-mai, environ une semaine après l’attaque du ransomware DarkSide contre Colonial Pipeline, l’un des plus grands opérateurs de pipelines de carburant aux États-Unis.

En l’absence de mises à jour sur leur site de fuite depuis le 6 mai, il semblait que le gang DoppelPaymer prenait du recul, attendant que l’attention du public sur les attaques de ransomware se dissipe.

Cependant, des chercheurs en sécurité ont souligné le mois dernier que Grief et DoppelPaymer étaient des noms différents pour la même menace.

Fabian Wosar d’Emsisoft a déclaré que les deux partageaient le même format de fichier crypté et utilisaient le même canal de distribution, le botnet Dridex.

Malgré les efforts du pirate informatique pour que Grief ressemble à un RaaS distinct, les similitudes avec DoppelPaymer sont si frappantes qu’un lien entre les deux est impossible à ignorer.

Des nouvelles sur le ransomware Grief sont apparues début juin, alors qu’on pensait qu’il s’agissait d’une nouvelle opération, mais un échantillon a été trouvé avec une date de compilation du 17 mai.

Les chercheurs en logiciels malveillants de la société de sécurité cloud Zscaler ont analysé le premier échantillon de ransomware Grief et ont remarqué que la note de rançon déposée sur les systèmes infectés pointait vers le portail DoppelPaymer.

« Cela suggère que l’auteur du malware est peut-être encore en train de développer le portail de rançon Grief. Les groupes de menaces de ransomware rebaptisent souvent le nom du malware pour faire diversion »

– Zscaler

La connexion entre les deux s’étend plus loin, jusqu’à leurs sites de fuite. Bien que visuellement, ils ne pourraient pas être plus différents, les similitudes abondent, comme le code captcha qui empêche l’exploration automatisée du site.

doppelpaymer

De plus, les deux menaces de ransomware reposent sur un code très similaire qui implémente « des algorithmes de cryptage identiques (RSA 2048 bits et AES 256 bits), le hachage d’importation et le calcul du décalage du point d’entrée ».

Une autre similitude est que Grief et DoppelPaymer utilisent le Règlement général sur la protection des données (RGPD) de l’Union européenne comme avertissement que les victimes non payantes devraient toujours faire face à des sanctions légales en raison de la violation.

Il y a si peu de différences entre les deux, et c’est surtout cosmétique, que les chercheurs de logiciels malveillants croient fermement qu’il s’agit de la même opération sous un nom différent.

Par exemple, Grief est passé à la crypto-monnaie Monero, qui pourrait être une mesure de protection contre une action potentielle des forces de l’ordre qui pourrait conduire à la saisie de l’argent de la rançon déjà collecté.

Une autre différence est que le ransomware Grief utilise le terme « griefs » pour les données de la victime divulguées sur leur site soit comme preuve du compromis (« griefs in progress ») soit comme punition pour ne pas avoir payé la rançon (« complete griefs »).

À l’heure actuelle, plus de deux douzaines de victimes sont répertoriées sur le site de fuite de Grief, ce qui montre que le groupe de ransomware a été occupé à travailler sous le nouveau nom. Il semble que le gang revendique également la récente attaque contre la ville grecque de Thessalonique, en publiant une archive de fichiers comme preuve de l’intrusion.

Zscaler affirme que « le ransomware Grief est la dernière version du ransomware DoppelPaymer avec des modifications de code mineures et un nouveau thème cosmétique », ajoutant que le gang est resté dans l’ombre pour éviter le niveau d’attention que REvil a obtenu pour avoir piraté Kaseya et DarkSide pour avoir frappé Colonial Pipeline.

Un rebranding de gang de ransomware ne cherche pas nécessairement à effacer leurs traces et peut simplement le faire pour éviter toute sanction gouvernementale qui empêcherait les victimes de payer la rançon.

Une courte liste de cinq hachages pour les échantillons capturés par Zscaler est disponible dans l’article de blog.

Laisser un commentaire