DoppelPaymer це "стелс" -вимагальник, якого немає; не шкодуйте France Silicon

У нього не буде аури Лабіринт, Егрегор чи Рюк. Але викупник DoppelPaymer вирує у Франції, заявляючи з десяток жертв.

doppelpaymer

Windows XP, як і раніше дуже присутній у французьких МСП? Це зображення, яке повертає сайт "вітрини" DoppelPaymer.

Це вимога не мало таких наслідків у Франції, як Егрегор, Рюк чи Лабіринт. Однак список заявлених жертв включає близько десяти французьких посилань.

Найдавніший запис у цьому списку датується 23 лютого 2020 року. Це стосується Бріттані Телеком. Його зміст: інформація про 148 машин (головним чином імена хостів, тип апаратного забезпечення та операційна система) та чотири архіви загальною вагою близько 150 МБ. Компанія, яка представляє себе як "оператор хмарних служб", ніколи не публікувала будь-яка кібератака, яка пояснює її присутність у списку.

Те саме стосується іАфпа. Організація професійного навчання є другим найстарішим французьким посиланням для жертв. Імовірна здобич, випущена 17-18 квітня, має інший масштаб: інформація про 65 076 машин та майже 4 ГБ даних, деякі з яких можуть стосуватися проектів НДДКР.

DoppelPaymer: викривач ІС

Стійкість Windows XP особливо помітна серед Роджер Мартін. Схоже, DoppelPaymer викрав близько 2 ГБ даних із групи BTP. Здається, деякі з них залучають клієнтів.

Фусьє також не так давно широко використовував Windows XP. Розповсюджувач обладнання був доданий до списку жертв 15 жовтня. Три архіви на загальну суму близько 1,5 ГБ містять контактну інформацію та контракти.

У деяких випадках дані публікувались двічі. У цьому випадку для Спарфлекс (виробник упаковки для напоїв) та Амплітуда (група автосалонів). Обидва з’явились у списку жертв 9 жовтня. Спочатку було опубліковано лише кілька файлів, піктограма зображала мегафон, що звучало як загроза.
На цьому ми фактично не зупинились. Для Amplitude велике розпакування відбулося 20 листопада з понад 4 ГБ даних. Для Sparflex це було 2 грудня (запис оновлений 7) з приблизно 1 ГБ даних.

DoppelPaymer не шкодує добровільного сектору. Тож асоціація Камінанте, активна у соціальному та медико-соціальному секторах, вона опинилася в пастці. Приблизно 2 ГБ опублікованих даних містять фотографії та посилаються на дві прізвища з ініціалом імені.

Видобуток менш важкий (близько 100 МБ), а також для Міжнародні контейнери та транспорт (постачальник логістичних послуг) лише для Мультимедіа Innelec (дистриб’ютор мультимедійних продуктів). Обидва розраховують на периметр ІС, до якого DoppelPaymer мав доступ, більшість робочих станцій під Windows 7.

Громади теж

Лише дві французькі жертви офіційно визнали, що зазнали кібератаки. І це міста: Мітрі-Морі (Сена і Марна) та Шарлевіль-Мезьєр (Арденни). Жоден з них не згадував DoppelPaymer і навіть не натякав на викуп. Однак в обох випадках публікація першого прес-релізу відбулася за кілька тижнів до його появи на сайті "вітрини".

На стороні Шарлевіля-Мезьєра ми повідомили факти 11 березня, розмістивши їх у ніч з 5 на 6, нас не запевнили. Загалом із повідомленням: відсутність збою в роботі основних комунальних служб; а в іншому, "все працює, але завдяки такому [sic]".

Мітрі-Морі відкрив цю комунікацію 22 липня, в якій описується атака в ніч з 18 на 19. Протягом кількох тижнів ми дізналися про втрату цифрових фотоархівів міста з початку 2000-х рр. Список 391 машини, опублікованої 1 жовтня на сайті DoppelPaymer розкриває дуже неоднорідний комп'ютерний парк, який досі включає Windows 2000, XP, Vista та Server 2003.

[ІНФОРМАЦІЯ]
Після масової та узагальненої кібератаки ІТ-інфраструктура місцевої влади не…

Опублікував Ville de Mitry-Mory у середу, 22 липня 2020 р