Ransomware del dolore

Ransomware del dolore Descrizione

The Grief Ransomware è un gruppo di hacker appena emerso che gestisce uno schema RaaS (Ransomware-as-a-Service). Nonostante siano attivi da appena un paio di mesi i criminali informatici sono riusciti a mietere più di 20 vittime. Il numero si basa sui file caricati sul sito di fuga di dati di Grief Ransomware. Una delle potenziali vittime sembra essere la città greca Salonicco, con gli hacker che pubblicano un file di archivio come prova. La raffica di attività mostra che l'outfit di Grief Ransomware è composto da operatori esperti con connessioni nel mondo degli hacker sotterranei. In effetti, i ricercatori di infosec hanno trovato prove convincenti che Grief è una continuazione di DoppelPaymer , un ransomware che di recente è diventato scuro.

Grief Ransomware potrebbe essere un rebrand di DoppelPaymer

DoppelPaymer ha chiuso le proprie attività a seguito delle massicce violazioni del ransomware che hanno scosso tutti: REvil ha compromesso la gestione IT e la società di monitoraggio remoto Kaseya e il fornitore di carne JBs mentre DarkSide ha interrotto Colonial Pipeline. Per evitare un controllo indesiderato, diversi forum di hacker hanno deciso di vietare qualsiasi argomento relativo a potenziali operazioni RaaS.

Le sovrapposizioni tra Grief e DoppelPaymer sono troppe e troppo significative per essere spiegate con semplici coincidenze. Entrambi i gruppi utilizzano la botnet Dridex per distribuire i loro payload di ransomware, che, a loro volta, utilizzano lo stesso formato di file crittografato. Nei primi giorni di Grief, diversi campioni di payload rilasciavano una richiesta di riscatto che curiosamente indirizzava le potenziali vittime verso il portale DopplePaymer. Ulteriori somiglianze possono essere scoperte confrontando i siti di fuga di dati dei due outfit.

Le cose diventano ancora più chiare se si prendono in considerazione le caratteristiche dei payload ransomware dei gruppi. Entrambe le minacce utilizzano gli algoritmi di crittografia RSA-2048 e AES-256, hanno lo stesso hash di importazione e calcolo dell'offset del punto di ingresso identico. D'altra parte, tutte le differenze attualmente visibili non sono altro che estetiche.