Nova pretnja - DoppelPaymer ransomware
Napravljen je po uzoru na BitPaymer ransomware, sa kojim deli značajan deo koda.
Od aprila do juna, pojavilo se najmanje 8 varijanti ovog ransomwarea. Sa svakom novom varijantom, ransomware je postepeno dobijao nove funkcionalnosti. Ime je dobio od BitPaymer malvera, sa kojim deli značajan deo koda. Za sada je potvrđeno da postoje najmanje 3 žrtve, koje su za otkupninu morale da plate između 2 i 100 bitkoina.
Slika 1. Poruka o otkupnini. Izvor slike: Bleeping Computer.
Jedna od žrtava je Edkauč, grad u Teksasu, od čijih čelnika je tražena otkupnina u iznosu od 8 bitkoina (trenutna vrednost jednog bitkoina je oko $10.000). Nije objavljeno kada se napad desio, ali prema iznosu koji su platili (oko $40.000) to je najverovatnije bilo u maju, kada je vrednost bitkoina bila oko $5.500.
Druga poznata žrtva je Ministarstvo poljoprivrede Čilea.
Paralelna ransomware aktivnost
Prva očigledna sličnost između DoppelPaymer i BitPaymer malvera je u naslovu na oba portala.
Slika 2. BitPaymer/DoppelPaymer portali za plaćanje. Izvor slike: Bleeping Computer.
Druga sličnost je u tome što dele značajan deo koda. Ipak, razlikuju se u pogledu enkripcije. DoppelPaymer kombinuje 2048-bit RSA ključeve sa 256-bit AES, dok BitPaymer koristi 4096-bit RSA sa istom specifikacijom za simetričnu enkripciju. Takođe, DoppelPaymer koristi standardnu AES enkripciju (PKCS#7), dok BitPaymer koristi nasumične bajtove specificirane u polju 'TAIL'.
Posle dodatne analize, zaključak eksperata je da iza novog malvera stoji osoba koja je učestvovala u BitPaymer operaciji.
Oba malvera su trenutno aktivna, a tokom juna i jula inficirali su nove žrtve. Novi ransomware ima modifikacije zbog kojih je superioran u odnosu na BitPaymer, između ostalog i zbog bržeg procesa enkripcije.
BitPaymer malver je delo sajber kriminalaca koji stoje iza Dridex bankarskog trojanca, a poznati su pod zbirnim imenom INDRIK SPIDER. Nekada su sarađivali sa sajber kriminalnom grupom koja sebe naziva “The Business Club“.