10 月 28 日,據美國NBC新聞報導,操作Grief勒索軟體的俄羅斯駭客組織聲稱已經成功入侵了美國全國步槍協會 (NRA),週三在其揭秘網站上發布了來自全國步槍協會數據庫的13 個檔案,威脅說如果不支付贖金,就會發布敏感資訊。美國全國步槍協會( National Rifle Association ; NRA ; 簡稱美國槍會 )是美國最大規模的槍械組織,有超過五百萬名會員,美國槍會積極參加美國當地的政治活動,具有重大政治影響力。目前尚不清楚 Grief是否攻擊了美國槍會的一個較小的分支機構,或是攻擊了的中央網路。
根據消息人士,美國槍會沒有回應 NBC 就此次駭客事件發表評論的請求,但據報導,美國槍會只稱是它們的電子郵件系統遇到了技術問題。隨後,美國槍會在Twitter一條推文中表示,它們不討論是其實體或電子安全相關的問題,並補充說它們採取非常措施來保護會員和捐助者的資料。
近年來,針對各種公司和組織的勒索軟體攻擊激增,但很少有像美國槍會那樣具有政治敏感性的目標。該組織長期以來一直與美國共和黨高層立法者保持密切聯繫,並且一直是共和黨候選人的主要支持者。全國步槍協會在過去兩次總統選舉中花費了數千萬美元幫Donald Trump助選。
據BleepingComputer,Grief 勒索軟體與名為 Evil Corp. 的俄羅斯駭客組織有關,Evil Corp 自 2009 年以來一直活躍,並參與了許多惡意網路活動,包括分發Dridex木馬以竊取網上銀行憑證和竊取資金。
駭客組織在 2017 年轉向勒索軟體,當時他們發布了名為 BitPaymer 的勒索軟體。BitPaymer 後來在 2019 年演變為 DoppelPaymer 勒索軟體操作。
在多年攻擊美國利益後,美國司法部指控 Evil Corp 成員竊取超過 1 億美元,並將該駭客組織列入外國資產控制辦公室 (OFAC) 制裁名單。
不久之後,美國財政部隨後警告說, 勒索軟體談判人員可能會因協助向制裁名單上的駭客組織支付贖金而面臨民事處罰。
從那時起,Evil Corp 就經常以不同的名稱發布新的勒索軟體,以逃避美國的制裁。這些勒索軟體系列包括 WastedLocker、 Hades、 Phoenix CryptoLocker、 PayLoadBin,以及最近的 Macaw Locker。然而,他們最初的勒索軟體 DoppelPaymer 以相同的名稱運作了多年,直到 2021 年 5 月,他們停止在揭秘網站點上列出新的受害者。
一個月後,Grief 勒索軟體出現了,基於程式碼的相似性資安研究人員認為這是DoppelPaymer 的品牌重塑。
有關Grief勒索軟體的入侵指標Indicators of compromise (IOCs):
SHA256 :
b5c188e82a1dad02f71fcb40783cd8b910ba886acee12f7f74c73ed310709cd2
91e310cf795dabd8c51d1061ac78662c5bf4cfd277c732385a82f181e8c29556
dda4598f29a033d2ec4f89f4ae687e12b927272462d25ca1b8dec4dc0acb1bec
0864575d4f487e52a1479c61c2c4ad16742d92e16d0c10f5ed2b40506bbc6ca0
b21ad8622623ce4bcdbf8c5794ef93e2fb6c46cd202d70dbeb088ea6ca4ff9c8