Verdriet Ransomware
The Grief Ransomware is een nieuw opgekomen hackergroep die een RaaS-schema (Ransomware-as-a-Service) hanteert. Ondanks dat ze slechts een paar maanden actief zijn, zijn de cybercriminelen erin geslaagd om meer dan 20 slachtoffers te maken. Het aantal is gebaseerd op de bestanden die zijn geüpload op de dataleksite van Grief Ransomware. Een van de potentiële slachtoffers blijkt de Griekse stad Thessaloniki te zijn, waarbij de hackers een archiefbestand als bewijs publiceren. De drukte laat zien dat de Grief Ransomware-outfit bestaat uit ervaren operators met connecties in de underground hackerwereld. Inderdaad, infosec-onderzoekers hebben overtuigend bewijs gevonden dat Grief een voortzetting is van DoppelPaymer , een ransomware-outfit die onlangs op de vlucht is geslagen.
Grief Ransomware is mogelijk een rebrand van DoppelPaymer
DoppelPaymer stopte hun activiteiten in de nasleep van de massale ransomware-inbreuken die iedereen schokte - REvil bracht het IT-beheer en het bedrijf voor bewaking op afstand Kaseya en de vleesleverancier JBs in gevaar, terwijl DarkSide de Colonial Pipeline verstoorde. Om ongewenst onderzoek te voorkomen, hebben verschillende hackerforums besloten om elk onderwerp met betrekking tot mogelijke RaaS-operaties te verbieden.
De overlappingen tussen Grief en DoppelPaymer zijn te veel en te belangrijk om door louter toeval te worden verklaard. Beide groepen gebruiken het Dridex- botnet om hun ransomware-payloads te distribueren, die op hun beurt hetzelfde versleutelde bestandsformaat gebruiken. In de begindagen van Grief lieten verschillende payload-samples een losgeldbriefje vallen dat merkwaardig genoeg de potentiële slachtoffers naar het DopplePaymer-portaal wees. Verdere overeenkomsten kunnen worden ontdekt bij het vergelijken van de dataleksites van de twee outfits.
Dingen worden nog duidelijker als je kijkt naar de kenmerken van de ransomware-payloads van de groepen. Beide bedreigingen gebruiken de RSA-2048- en AES-256-coderingsalgoritmen, hebben dezelfde import-hashing en identieke berekening van de ingangspuntverschuiving. Aan de andere kant zijn alle momenteel zichtbare verschillen niet meer dan cosmetisch.
