Κάποιοι ερευνητές ασφαλείας, που ειδικεύονται στα κακόβουλα λογισμικά, ανακάλυψαν ένα νέο ransomware, το οποίο ονόμασαν DoppelPaymer. Το DoppelPaymer ransomware χρησιμοποιείται από τους hackers εδώ και περίπου ένα μήνα. Τα πρώτα θύματα εμφανίστηκαν στα μέσα Ιουνίου. Οι hackers κρυπτογραφούσαν τα αρχεία των θυμάτων και ζητούσαν εκατοντάδες χιλιάδες δολάρια σε αντάλλαγμα.
Το ransomware εμφανίζεται σε οκτώ παραλλαγές. Η πρώτη εμφανίστηκε τον Απρίλιο.
Τα θύματα προέρχονται κυρίως από τον τομέα των δημόσιων υπηρεσιών
Το DoppelPaymer έχει πάρει το όνομά του από το BitPaymer, καθώς ένα μεγάλο μέρος του κώδικα τους είναι κοινό. Τρία θύματα έχουν αναφέρει ότι πλήρωσαν τα λύτρα (από 2 BTC έως 100 BTC).
Η αξία του Bitcoin στα τέλη Απριλίου ήταν περίπου 5.150 δολάρια και έφτασε τα 12.000 δολάρια στα τέλη Ιουνίου και στις αρχές Ιουλίου.
Ένα από τα θύματα είναι η πόλη Edcouch, στο Τέξας. Οι hackers ζήτησαν 8 BTC για να αποκρυπτογραφήσουν τα δεδομένα.
Δεν υπάρχουν πολλές πληροφορίες σχετικά με το πότε έγινε η επίθεση. Ωστόσο, οι αξιωματούχοι της πόλης ανέφεραν ότι πλήρωσαν 40.000 δολάρια. Επομένως, η επίθεση έγινε μάλλον στις αρχές του Μαΐου ή και νωρίτερα, όταν η αξία του bitcoin ήταν περίπου 5.500 δολάρια.
Οι ερευνητές παρατήρησαν μερικές βασικές ομοιότητες μεταξύ του portal πληρωμών του DoppelPaymer και του BitPaymer. Και στις δυο σελίδες, στο πάνω μέρος υπάρχει ο τίτλος “Bit paymer”. Επιπλέον, όπως είπαμε πιο πάνω, τα δυο ransomware έχουν μεγάλο μέρος του κώδικά τους κοινό.
Ωστόσο, έχουν διαφορετικά προγράμματα κρυπτογράφησης.
Εξετάζοντας τις διαφορές και τις ομοιότητες μεταξύ των δύο ransomware, οι ερευνητές Brett Stone-Gross, Sergei Frankoff και Bex Hartley κατέληξαν στο συμπέρασμα ότι το νέο ransomware μάλλον είναι έργο ενός μέλους της ομάδας, που κρύβεται πίσω από το BitPaymer και που ξεκίνησε τη δική του επιχείρηση ransomware.
Και το BitPaymer και το DoppelPaymer λειτουργούν παράλληλα. Έχουν εντοπιστεί θύματα και των δύο ransomware τόσο κατά τον Ιούνιο όσο και κατά τον Ιούλιο.
Το νέο ransomware είναι ελαφρώς τροποποιημένο και είναι ανώτερο του BitPaymer, καθώς χρησιμοποιεί μεθόδους, που του επιτρέπουν να κρυπτογραφεί γρηγορότερα τα αρχεία των θυμάτων.
Η ομάδα, που κρύβεται πίσω από το BitPaymer είναι η ίδια που βρίσκεται πίσω και από το Dridex banking trojan και είναι γνωστή ως INDRIK SPIDER.
