DoppelPaymer ist wieder da

Anfang Mai 2021 gingen die Aktivitäten der Ransomware DoppelPaymer deutlich zurück, nachdem die Erpressergruppe dahinter auch in deutschen Organisationen Bekanntheit erlangt hatte. Die Leak-Webseite der Ransomware verblieb zwar online, aber seit dem 6. Mai 2021 wurde kein neuer Beitrag mehr zu gekaperten Unternehmen veröffentlicht. Darüber hinaus wurden seit Ende Juni keine Posts aktualisiert. Den Hintergrund für diese Funkstille erklären die Sicherheitsforscher des Zscaler ThreatLabZ-Teams jetzt mit einer Rebranding-Initiative der Bedrohungsakteure, die der Doppelpaymer-Malware den neuen Namen Grief (auch bekannt als Pay OR Grief) gegeben haben.

Ein erstes Malware-Sample wurde bereits am 17. Mai 2021 erstellt. Dieses Beispiel enthält den Grief-Ransomware-Code und Schreiben zur Lösegeldforderung, verweist jedoch mit dem Link der Lösegeldforderung auf die DoppelPaymer Ransomware-Webseite. Dies deutet darauf hin, dass der Malware-Autor möglicherweise noch dabei war, die Grief Ransomware-Webseite zu programmieren. Dieses Vorgehen der Umbenennung ist durchaus üblich, da Bedrohungsakteure auf diese Weise versuchen, ihre Spuren zu verwischen.

Die ThreatLabZ-Analysten verglichen nun beide Ransomware-Samples und kamen in ihrer Analyse zu dem Schluss, dass nicht nur die Leak-Seiten nahezu identisch sind, sondern auch der Code, der das Captcha anzeigt, um automatisches Crawling zu verhindern. Auf der Startseite wurde der Begriff „latest proofs“ in „griefs in progress“ und „latest leaks“ in „complete griefs“ geändert. Die Layouts der Leak-Webseiten sind ebenfalls identisch und enthalten die URL des Opferunternehmens, eine Beschreibung der Organisation, Bilder der gestohlenen Daten, gestohlene Beispieldateien und eine Liste der kompromittierten Rechner.

Darüber hinaus unterscheidet sich die Grief Ransomware-Webseite allerdings in einigen Punkten von der DoppelPaymer-Seite. Insbesondere wird als Zahlungsmethode für die Ransomware-Forderung Monero (XMR) anstatt Bitcoin (BTC) verwendet. Diese Umstellung der Kryptowährungen könnte eine Reaktion darauf sein, dass das FBI einen Teil des Lösegelds für die Colonial Pipeline zurückerhalten hat. Das Grief Ransomware-Portal hat jedoch denselben Live Chat-Code beibehalten, der den Opfern die Fortsetzung der Kommunikation ermöglicht.

Die Grief-Ransomware und die Leak-Webseite versuchen außerdem, die Allgemeine Datenschutzverordnung (DSGVO) für sich einzusetzen, um Unternehmen zur Zahlung eines Lösegelds zu bewegen und damit mögliche Geldstrafen zu vermeiden.

Die Malware Code-Unterschiede zwischen DoppelPaymer und Grief sind ebenfalls relativ gering. Aus den Grief-Samples wurden die eingebetteten ProcessHacker-Binärdateien entfernt. Allerdings enthält Grief immer noch den Code zur Entschlüsselung von Daten aus dem .sdata-Abschnitt der Binärdatei. Der String-Verschlüsselungsalgorithmus von Grief ähnelt dem von DoppelPaymer, mit der Ausnahme, dass der RC4-Schlüssel von 40 auf 48 Byte erhöht wurde. Der größte Teil der beiden Codebasen ist sehr ähnlich, mit identischen Verschlüsselungsalgorithmen (2048-Bit RSA und 256-Bit AES), Import-Hashing und Berechnung des Einstiegspunkt-Offsets.

Fazit

Die Grief ist die neueste Version der DoppelPaymer-Ransomware mit kleineren Code-Änderungen und einem neuen kosmetischen Thema. Die Erpressergruppe war seit der Veröffentlichung von Grief Mitte Mai 2021 sehr aktiv. Allerdings ist es ihnen bisher gelungen, sich unauffällig zu verhalten und einer Enttarnung zu entgehen.