اعضای گروه جرائم سایبری مربوط به تروجان Dridex از این گروه جدا شده و یک نسخهی انشعابیافتهی باجافزار BitPaymer را عرضه کردهاند. این عامل تهدید بهتازگی خانوادههای بدافزاری جدیدی را منتشر کرده است که شامل دربپشتی tRat و برنامهی بارگیر AndroMut است.
پس از انتشار باجافزار نسخهی Bart در سال ۲۰۱۶ میلادی و Jaff در ماه مِه سال ۲۰۱۷ میلادی، مجرمان سایبری BitPaymer را در اواسط سال ۲۰۱۷ میلادی عرضه کردند. این باجافزار بهجای کاربران نهایی روی هدفهای مشهور و شرکتها تمرکز کرده است و از طریق حملات کورکورانهی Remote Desktop Protocol (RDP) توزیع میشود. درحالحاضر نوع جدیدی از این باجافزار ظهور پیدا شده که نشان میدهد برخی از اعضای TA505 این گروه را ترک کرده و کد منبع Dridex و BitPaymer را برای آغاز عملیات خود انشعاب دادهاند. این نسخه از باجافزار جدید کاملاً شبیه به نسخهی اصلی است.
بدافزار BitPaymer که ابتدا در ماه آگوست سال ۲۰۱۷ میلادی شناسایی شد، یک یادداشت باج بههمراه یک آدرس اینترنتی برای یک پرتال پرداخت مبتنیبر TOR توزیع میکند. هم مقدار باج و هم آدرس اینترنتی پرتال پرداخت در طول زمان از یادداشت حذف شده است. از ماه جولای سال ۲۰۱۸ میلادی، این یادداشت تنها شامل دو رایانامه برای مذاکره دربارهی باج بوده است.
در ماه نوامبر سال ۲۰۱۸ میلادی، این یادداشت باج برای اینکه شامل نام قربانی باشد، بهروزرسانی شد. این پسوند فایل که به فایلهای رمزنگاریشده اضافه شده است برای استفاده از یک نمایشگر نام قربانی سفارشیسازی شده بود. این بدافزار ۲۵۶ bit AES را برای رمزنگاری پذیرفته است. این عامل تهدید از نسخهی بهروزرسانیشدهی BitPaymer در حداقل ۱۵ حملهی باجافزاری تأییدشده استفاده کرده است که در طول سال ۲۰۱۹ میلادی ادامه یافته و در حوادثی که در ماه ژوئن و جولای سال ۲۰۱۹ اتفاق میافتد، شرکت دارد.
بدافزار DoppelPaymer ابتدا در یک حملهی هدفمند در ماه ژوئن سال ۲۰۱۹ میلادی استفاده شد، اما پژوهشگران امنیتی قادر بودند تا نسخههای اخیر مربوط به ماه آوریل سال ۲۰۱۹ میلادی را بازیابی کنند که احتمالاً برای آزمایش ساخته شده بودند. در مجموع ۸ نسخهی بدافزاری متمایز شناسایی شده است و سه قربانی تأیید شده است. از قربانیان این باجافزار مبالغ باج متفاوتی با میزان ۲، ۴۰ و ۱۰۰ بیتکوین خواسته شده است. با نرخهای مبادلاتی فعلی، این عاملان تهدید از حدود ۲۵ هزار دلار تا بیش از ۱ میلیون و ۲۰۰ هزار دلار از قربانیان درخواست کردهاند.
این یادداشت باج در DoppelPaymer شبیه آنهایی است که در سال ۲۰۱۸ میلادی از BitPaymer استفاده شده است. هیچ مبلغ باجی در آن ذکر نشده است، اما یک آدرس اینترنتی مربوط به یک پرتال پرداخت مبتنیبر TOR برای کاربران ارائه میشود که تقریباً مشابه پرتال اصلی BitPaymer است. نویسندگان DoppelPaymer مجموعهای از تغییرات را در کد منبع DoppelPaymer ایجاد کردند تا عملکرد این باجافزار را بهبود ببخشند. این بدافزار طراحی شده است تا تنها پس از ارائهی یک آرگومان خط فرمان خاص اجرا شود.
این تهدید همچنین فرآیندها و خدماتی را که ممکن است با رمزنگاری فایل تداخل داشته باشند، پایان میدهد. به همین دلیل این باجافزار از ProcessHacker استفاده میکند که یک ابزار مدیریتی متنباز قانونی است. یکی دیگر از کشفهای جالب CrowdStrike این بود که کد DoppelPaymer یک ارتباط با نوع جدیدی از Dridex را نشان میدهد که در حملات مربوط به چند ماه گذشته ظهور پیدا کرده است.
بدافزارهای BitPaymer و DoppelPaymer بهصورت موازی به فعالیت خود ادامه میدهد و قربانیان جدید هر دو خانوادهی باجافزاری در ماه ژوئن و جولای سال ۲۰۱۹ میلادی شناسایی شدهاند. این عملیات موازی با همپوشانی کد زیادی بین BitPaymer و DoppelPaymer همراه شده است که نه تنها انشعاب کد BitPaymer بلکه یک عملیات کاملاً مجزا را نشان میدهد.