Après une période de peu ou pas d’activité, l’opération de ransomware DoppelPaymer a fait un changement de marque, désormais connue sous le nom de Grief (a.k.a. Pay or Grief).

On ne sait pas si l’un des développeurs d’origine est toujours derrière ce ransomware-as-a-service (RaaS), mais les indices découverts par les chercheurs en sécurité indiquent une poursuite du «projet».

L’activité de DoppelPaymer a commencé à décliner à la mi-mai, environ une semaine après l’attaque du ransomware DarkSide contre Colonial Pipeline, l’un des plus grands opérateurs de pipelines de carburant aux États-Unis.

En l’absence de mises à jour sur leur site de fuite depuis le 6 mai, il semblait que le gang DoppelPaymer prenait du recul, attendant que l’attention du public sur les attaques de ransomware se dissipe.

Cependant, des chercheurs en sécurité ont souligné le mois dernier que Grief et DoppelPaymer étaient des noms pour la même menace.

Fabian Wosar d’Emsisoft a déclaré à BleepingComputer que les deux partageaient le même format de fichier crypté et utilisaient le même canal de distribution, le botnet Dridex.

Malgré les efforts de l’acteur menaçant pour que Grief ressemble à un RaaS distinct, les similitudes avec DoppelPaymer sont si frappantes qu’un lien entre les deux est impossible à ignorer.

Des nouvelles concernant le ransomware Grief sont apparues début juin, alors qu’on pensait qu’il s’agissait d’une nouvelle opération, mais un échantillon a été trouvé avec une date de compilation du 17 mai.

Des chercheurs en logiciels malveillants de la société de sécurité cloud Zscaler ont analysé le premier échantillon de ransomware Grief et ont remarqué que la note de rançon déposée sur les systèmes infectés pointait vers le portail DoppelPaymer.

La connexion entre les deux s’étend plus loin, jusqu’à leurs sites de fuite. Bien que visuellement ils ne pourraient pas être plus différents, les similitudes abondent, comme le code captcha qui…