Операторы вымогателя Grief утверждают, что атаковали американскую Национальную стрелковую ассоциацию (National Rifle Association, NRA). В качестве доказательства своих слов хакеры опубликовали украденные у NRA данные.
На своем сайте в даркнете группировка выложила скриншоты таблиц Excel, демонстрирующие налоговую и инвестиционную информацию, а также протоколы заседания правления. Кроме того, злоумышленники опубликовали архив объемом 2,7 Мб под названием National Grants.zip, в котором содержатся заявки на гранты NRA. Хакеры традиционно угрожают обнародовать больше данных, если им не выплатят выкуп.
Представители NRA не комментируют случившееся, лишь сообщают в Twitter, что не дают комментариев по вопросам «связанным с физической или электронной безопасностью», а также уверяют, что «предпринимают чрезвычайные меры для защиты информации, касающейся членов, жертвователей и операций NRA»
“NRA does not discuss matters relating to its physical or electronic security. However, the NRA takes extraordinary measures to protect information regarding its members, donors, and operations – and is vigilant in doing so.”–Andrew Arulanandam, managing dir., NRA Public Affairs
— NRA (@NRA) October 27, 2021
Пока неясно, атаковали вымогатели центральный офис NRA или жертвой хакеров стало некое региональное отделение. Также стоит отметить, что многие эксперты выражают недоумение относительно этого взлома, ведь Национальная стрелковая ассоциация недавно объявила о своем банкротстве и не совсем понятно, как NRA может выплатить злоумышленникам выкуп.
Более того, вымогатель Grief представляет собой ребрендинг другой малвари, DoppelPaymer, и оба эти вымогателя связывают с известной хак-группой Evil Corp. Еще в 2019 году власти США ввели санкции в отношении 24 организаций и лиц, связанных с этой хак-группой. В результате компании-переговорщики, которые обычно договариваются с вымогателями об уплате выкупа и расшифровке данных, отказались «работать» с Evil Corp, чтобы избежать штрафов и судебных исков со стороны Министерства финансов США.
В ответ на это Evil Corp стала переименовывать свое малварь и маскировать операции, чтобы избежать санкций. Так, в арсенале группировки числятся такие вымогатели, как WastedLocker, Hades и Phoenix и PayloadBIN, DoppelPaymer (теперь Grief или Pay or Grief), Macaw. Однако, учитывая санкции, любые компании и организации в США должны получить разрешение Казначейства, прежде чем переводить деньги организациям и лицам, связанным с EvilCorp.