Entropy Ransomware

Entropy Ransomware è una minaccia malware utilizzata in operazioni minacciose almeno da novembre 2021. I criminali informatici responsabili della minaccia utilizzano uno schema di doppia estorsione per costringere le loro vittime a pagare il riscatto richiesto. Innanzitutto, raccolgono informazioni sensibili e quindi implementano Entropy per bloccare i file sui computer compromessi. Gli aggressori minacciano quindi di pubblicare le informazioni esfiltrate tramite un sito di fuga dedicato. Finora, il sito dei gruppi elenca nove vittime totali sia del settore pubblico che privato.

Collegamento a Dridex ed EvilCorp

Secondo un rapporto rilasciato da Sophos, Entropy Ransomware contiene molteplici somiglianze a livello di codice con la famigerata minaccia Trojan nota come Dridex. Dridex è stato sviluppato come un Trojan bancarioinizialmente, ma presto è stato dotato di funzionalità intrusive di espansione e si è trasformato in una minaccia invasiva per uso generale. Dridex è stato diffuso tramite e-mail di phishing ed è attribuito al gruppo di hacker EvilCorp (Indrik Spider).

Tuttavia, questa non è l'unica connessione tra EvilCorp e Entropy Ransomware. Nel rapporto di Sophos, i ricercatori sottolineano che anche i sistemi in cui è stato rilevato il codice packer di Entropy sono stati presi di mira dal DoppelPaymer Ransomware. DoppelPaymer è un'altra minaccia malware attribuita a EvilCorp.

Va precisato che questo non è il primo tentativo del gruppo di rebranding dopo le sanzioni emanate dal Dipartimento del Tesoro statunitense nel 2019. Per evitare il ban, gli hacker si sono mossi attraverso diversi nomi di ransomware tra cui WastedLocker, Hades e Phoenix.