Anzeige

Ransomware

Anfang Mai 2021 gingen die Aktivitäten der Ransomware DoppelPaymer deutlich zurück, nachdem die Erpressergruppe dahinter auch in deutschen Organisationen Bekanntheit erlangt hatte.

Die Leak-Webseite der Ransomware verblieb zwar online, aber seit dem 6. Mai 2021 wurde kein neuer Beitrag mehr zu gekaperten Unternehmen veröffentlicht. Darüber hinaus wurden seit Ende Juni keine Posts aktualisiert. Den Hintergrund für diese Funkstille erklären die Sicherheitsforscher des Zscaler ThreatLabZ-Teams jetzt mit einer Rebranding-Initiative der Bedrohungsakteure, die der Doppelpaymer-Malware den neuen Namen Grief (auch bekannt als Pay OR Grief) gegeben haben.

Ein erstes Malware-Sample wurde bereits am 17. Mai 2021 erstellt. Dieses Beispiel enthält den Grief-Ransomware-Code und Schreiben zur Lösegeldforderung, verweist jedoch mit dem Link der Lösegeldforderung auf die DoppelPaymer Ransomware-Webseite. Dies deutet darauf hin, dass der Malware-Autor möglicherweise noch dabei war, die Grief Ransomware-Webseite zu programmieren. Dieses Vorgehen der Umbenennung ist durchaus üblich, da Bedrohungsakteure auf diese Weise versuchen, ihre Spuren zu verwischen.

Die ThreatLabZ-Analysten verglichen nun beide Ransomware-Samples und kamen in ihrer Analyse zu dem Schluss, dass nicht nur die Leak-Seiten nahezu identisch sind, sondern auch der Code, der das Captcha anzeigt, um automatisches Crawling zu verhindern. Auf der Startseite wurde der Begriff „latest proofs“ in „griefs in progress“ und „latest leaks“ in „complete griefs“ geändert. Die Layouts der Leak-Webseiten sind ebenfalls identisch und enthalten die URL des Opferunternehmens, eine Beschreibung der Organisation, Bilder der gestohlenen Daten, gestohlene Beispieldateien und eine Liste der kompromittierten Rechner.

Darüber hinaus unterscheidet sich die Grief Ransomware-Webseite allerdings in einigen Punkten von der DoppelPaymer-Seite. Insbesondere wird als Zahlungsmethode für die Ransomware-Forderung Monero (XMR) anstatt Bitcoin (BTC) verwendet. Diese Umstellung der Kryptowährungen könnte eine Reaktion darauf sein, dass das FBI einen Teil des Lösegelds für die Colonial Pipeline zurückerhalten hat. Das Grief Ransomware-Portal hat jedoch denselben Live Chat-Code beibehalten, der den Opfern die Fortsetzung der Kommunikation ermöglicht.

Die Grief-Ransomware und die Leak-Webseite versuchen außerdem, die Allgemeine Datenschutzverordnung (DSGVO) für sich einzusetzen, um Unternehmen zur Zahlung eines Lösegelds zu bewegen und damit mögliche Geldstrafen zu vermeiden.

Die Malware Code-Unterschiede zwischen DoppelPaymer und Grief sind ebenfalls relativ gering. Aus den Grief-Samples wurden die eingebetteten ProcessHacker-Binärdateien entfernt. Allerdings enthält Grief immer noch den Code zur Entschlüsselung von Daten aus dem .sdata-Abschnitt der Binärdatei. Der String-Verschlüsselungsalgorithmus von Grief ähnelt dem von DoppelPaymer, mit der Ausnahme, dass der RC4-Schlüssel von 40 auf 48 Byte erhöht wurde. Der größte Teil der beiden Codebasen ist sehr ähnlich, mit identischen Verschlüsselungsalgorithmen (2048-Bit RSA und 256-Bit AES), Import-Hashing und Berechnung des Einstiegspunkt-Offsets.

 

Fazit

Die Grief ist die neueste Version der DoppelPaymer-Ransomware mit kleineren Code-Änderungen und einem neuen kosmetischen Thema. Die Erpressergruppe war seit der Veröffentlichung von Grief Mitte Mai 2021 sehr aktiv. Allerdings ist es ihnen bisher gelungen, sich unauffällig zu verhalten und einer Enttarnung zu entgehen.

www.zscaler.de


Weitere Artikel

E-Rechnung

Elektronische Rechnungen kommen zunehmend besser an

Die elektronische Rechnung kommt in Deutschland immer schneller voran. Inzwischen versenden 4 von 10 Unternehmen (43 Prozent) E-Rechnungen. Vor einem Jahr lag der Anteil erst bei rund einem Drittel (3o Prozent), vor drei Jahren war es nur jedes Fünfte (19…
Social Media

Social Media: Nur eine Minderheit folgt Politiker-Accounts

Auf den Social-Media-Accounts von einiger Politikerinnen und Politikern werden sich demnächst wohl direkte Eindrücke aus Sondierungsrunden oder Koalitionsverhandlungen im Bund und einigen Ländern finden. Doch die große Mehrheit der Bürgerinnen und Bürger…
Akquisition

Dynatrace übernimmt SpectX

Das Software-Intelligence-Unternehmen Dynatrace hat die Übernahme des High-Speed-Parsing- und Query-Analytics-Unternehmens SpectX abgeschlossen und bettet künftig die SpectX-Technologie in die eigene Software-Intelligence-Plattform mit ein.
Online-Beratung

Online-Beratung bei Finanzierungsanbietern mit Schwächen

Die Möglichkeiten der Online-Beratung werden von den Finanzierungsanbietern nicht ausgeschöpft. Statt auf individuelle Bedürfnisse der Immobilienkäufer einzugehen, setzen die Baufinanzierer vornehmlich auf Terminvereinbarungen und eine Konditionsermittlung…
it-sa 2021

it-sa 2021 vom 12. bis 14. Oktober in Nürnberg

Auf 52,5 Mrd. Euro schätzt das Institut der deutschen Wirtschaft die finanziellen Schäden, die im letzten Jahr durch Hackerangriffe auf Mitarbeiter im Homeoffice entstanden. Als Fachmesse für IT-Sicherheit widmet sich die it-sa vom 12. bis 14. Oktober der…
Videocall

Ärger um Vergabe von Videosystem geht in nächste Runde

Im juristischen Streit über die Vergabe eines Auftrags für ein landesweites Videokonferenzsystems an Hessens Schulen wehrt sich das Land gegen eine Entscheidung der Vergabekammer. Nach den Worten eines Sprechers des Kultusministeriums in Wiesbaden wurde…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.