Anfang Mai 2021 gingen die Aktivitäten der Ransomware DoppelPaymer deutlich zurück, nachdem die Erpressergruppe dahinter auch in deutschen Organisationen Bekanntheit erlangt hatte. Die Leak-Webseite der Ransomware verblieb zwar online, aber seit dem 6. Mai 2021 wurde kein neuer Beitrag mehr zu gekaperten Unternehmen veröffentlicht. Darüber hinaus wurden seit Ende Juni keine Posts aktualisiert. Den Hintergrund für diese Funkstille erklären die Sicherheitsforscher des Zscaler ThreatLabZ-Teams jetzt mit einer Rebranding-Initiative der Bedrohungsakteure, die der Doppelpaymer-Malware den neuen Namen Grief (auch bekannt als Pay OR Grief) gegeben haben.

Ein erstes Malware-Sample wurde bereits am 17. Mai 2021 erstellt. Dieses Beispiel enthält den Grief-Ransomware-Code und Schreiben zur Lösegeldforderung, verweist jedoch mit dem Link der Lösegeldforderung auf die DoppelPaymer Ransomware-Webseite. Dies deutet darauf hin, dass der Malware-Autor möglicherweise noch dabei war, die Grief Ransomware-Webseite zu programmieren. Dieses Vorgehen der Umbenennung ist durchaus üblich, da Bedrohungsakteure auf diese Weise versuchen, ihre Spuren zu verwischen.

Die ThreatLabZ-Analysten verglichen nun beide Ransomware-Samples und kamen in ihrer Analyse zu dem Schluss, dass nicht nur die Leak-Seiten nahezu identisch sind, sondern auch der Code, der das Captcha anzeigt, um automatisches Crawling zu verhindern. Auf der Startseite wurde der Begriff „latest proofs“ in „griefs in progress“ und „latest leaks“ in „complete griefs“ geändert. Die Layouts der Leak-Webseiten sind ebenfalls identisch und enthalten die URL des Opferunternehmens, eine Beschreibung der Organisation, Bilder der gestohlenen Daten, gestohlene Beispieldateien und eine Liste der kompromittierten Rechner.

Darüber hinaus unterscheidet sich die Grief Ransomware-Webseite allerdings in einigen Punkten von der DoppelPaymer-Seite. Insbesondere wird als Zahlungsmethode für die Ransomware-Forderung Monero (XMR) anstatt Bitcoin (BTC) verwendet. Diese Umstellung der Kryptowährungen könnte eine Reaktion darauf sein, dass das FBI einen Teil des Lösegelds für die Colonial Pipeline zurückerhalten hat. Das Grief Ransomware-Portal hat jedoch denselben Live Chat-Code beibehalten, der den Opfern die Fortsetzung der Kommunikation ermöglicht.

Die Grief-Ransomware und die Leak-Webseite versuchen außerdem, die Allgemeine Datenschutzverordnung (DSGVO) für sich einzusetzen, um Unternehmen zur Zahlung eines Lösegelds zu bewegen und damit mögliche Geldstrafen zu vermeiden.

Die Malware Code-Unterschiede zwischen DoppelPaymer und Grief sind ebenfalls relativ gering. Aus den Grief-Samples wurden die eingebetteten ProcessHacker-Binärdateien entfernt. Allerdings enthält Grief immer noch den Code zur Entschlüsselung von Daten aus dem .sdata-Abschnitt der Binärdatei. Der String-Verschlüsselungsalgorithmus von Grief ähnelt dem von DoppelPaymer, mit der Ausnahme, dass der RC4-Schlüssel von 40 auf 48 Byte erhöht wurde. Der größte Teil der beiden Codebasen ist sehr ähnlich, mit identischen Verschlüsselungsalgorithmen (2048-Bit RSA und 256-Bit AES), Import-Hashing und Berechnung des Einstiegspunkt-Offsets.

Fazit

Die Grief ist die neueste Version der DoppelPaymer-Ransomware mit kleineren Code-Änderungen und einem neuen kosmetischen Thema. Die Erpressergruppe war seit der Veröffentlichung von Grief Mitte Mai 2021 sehr aktiv. Allerdings ist es ihnen bisher gelungen, sich unauffällig zu verhalten und einer Enttarnung zu entgehen.

ZDNet.de Redaktion

Recent Posts

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

16 Stunden ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

21 Stunden ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

23 Stunden ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Tagen ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

3 Tagen ago