Entropy Ransomware

De Entropy Ransomware is een malwarebedreiging die in ieder geval sinds november 2021 wordt gebruikt bij bedreigende operaties. De cybercriminelen die verantwoordelijk zijn voor de bedreiging gebruiken een dubbel afpersingsschema om hun slachtoffers te dwingen het gevraagde losgeld te betalen. Eerst verzamelen ze gevoelige informatie en implementeren vervolgens Entropy om de bestanden op de besmette computers te vergrendelen. De aanvallers dreigen vervolgens de geëxfiltreerde informatie te publiceren via een speciale leksite. Tot dusverre vermeldt de site van de groepen negen totale slachtoffers uit zowel de publieke als de private sector.

Verbinding met Dridex en EvilCorp

Volgens een rapport van Sophos bevat de Entropy Ransomware meerdere overeenkomsten op codeniveau met de beruchte Trojaanse dreiging die bekend staat als Dridex. Dridex is ontwikkeld als een banktrojanaanvankelijk, maar werd al snel uitgerust met uitgebreide opdringerige functionaliteit en veranderde in een invasieve bedreiging voor algemeen gebruik. Dridex werd verspreid via phishing-e-mails en wordt toegeschreven aan de hackersgroep EvilCorp (Indrik Spider).

Dit is echter niet de enige connectie tussen EvilCorp en de Entropy Ransomware. In het rapport van Sophos wijzen de onderzoekers erop dat systemen, waar de packercode van Entropy werd gedetecteerd, ook het doelwit waren van de DoppelPaymer Ransomware. DoppelPaymer is een andere malwarebedreiging die wordt toegeschreven aan EvilCorp.

Opgemerkt moet worden dat dit niet de eerste poging van de groep is om zichzelf te rebranden sinds de sancties die het Amerikaanse ministerie van Financiën in 2019 heeft uitgevaardigd. Om het verbod te vermijden, hebben de hackers verschillende ransomware-namen gebruikt, waaronder WastedLocker, Hades en Phoenix.