Entropy Ransomware

Entropy Ransomware to złośliwe oprogramowanie, które było wykorzystywane w operacjach zagrażających od co najmniej listopada 2021 roku. Cyberprzestępcy odpowiedzialni za to zagrożenie stosują schemat podwójnego wymuszenia, aby zmusić swoje ofiary do zapłacenia żądanego okupu. Najpierw zbierają poufne informacje, a następnie wdrażają Entropy, aby zablokować pliki na zaatakowanych komputerach. Napastnicy grożą następnie opublikowaniem eksfiltrowanych informacji za pośrednictwem dedykowanej strony wycieku. Jak dotąd na stronie grup znajduje się łącznie dziewięć ofiar zarówno z sektora publicznego, jak i prywatnego.

Połączenie z Dridex i EvilCorp

Według raportu opublikowanego przez Sophos, Entropy Ransomware zawiera wiele podobieństw na poziomie kodu do niesławnego trojana znanego jako Dridex. Dridex został opracowany jako trojan bankowypoczątkowo, ale wkrótce został wyposażony w rozszerzone funkcje inwazyjne i przekształcił się w zagrożenie inwazyjne ogólnego przeznaczenia. Dridex rozprzestrzeniał się za pośrednictwem wiadomości phishingowych i jest przypisywany grupie hakerów EvilCorp (Indrik Spider).

Nie jest to jednak jedyny związek między EvilCorp a Entropy Ransomware. W raporcie z Sophos badacze zwracają uwagę, że systemy, w których wykryto kod pakera Entropy, również były celem ataków DoppelPaymer Ransomware. DoppelPaymer to kolejne zagrożenie złośliwym oprogramowaniem przypisywane EvilCorp.

Należy podkreślić, że nie jest to pierwsza próba zmiany marki przez grupę od czasu sankcji nałożonych przez Departament Skarbu USA w 2019 roku. Aby uniknąć zakazu, hakerzy przeszli przez kilka nazw ransomware, w tym WastedLocker, Hades i Phoenix.