Grief Ransomware

O Grief Ransomware é um grupo de hackers recém-surgido que opera um esquema RaaS (Ransomware-as-a-Service). Apesar de estarem ativos por apenas alguns meses, os cibercriminosos conseguiram acumular mais de 20 vítimas. O número é baseado nos arquivos carregados no site de vazamento de dados do Grief Ransomware. Uma das vítimas em potencial parece ser a cidade grega de Thessaloniki, com os hackers publicando um arquivo como prova. A enxurrada de atividades mostra que a unidade Grief Ransomware consiste em operadores experientes com conexões no mundo underground dos hackers. Na verdade, os pesquisadores de Infosec encontraram evidências convincentes de que o Grief é uma continuação do DoppelPaymer, uma empresa de ransomware que recentemente ficou escuras.

O Grief Ransomware pode ser uma Nova Versão do DoppelPaymer

A DoppelPaymer encerrou suas atividades após as violações massivas de ransomware que abalaram a todos - o REvil comprometendo o gerenciamento de TI e a empresa de monitoramento remoto Kaseya e o fornecedor de carne JBs enquanto o DarkSide interrompia o Colonial Pipeline. Para evitar o escrutínio indesejado, vários fóruns de hackers decidiram banir qualquer tópico relacionado a operações RaaS em potencial.

As sobreposições entre Grief e DoppelPaymer são muitas e significativas para serem explicadas por meras coincidências. Ambos os grupos empregam o botnet Dridex para distribuir suas cargas de ransomware, que, por sua vez, utilizam o mesmo formato de arquivo criptografado. Nos primeiros dias do Grief, várias amostras de carga útil deixaram cair uma nota de resgate que curiosamente apontou as vítimas em potencial para o portal DopplePaymer. Outras semelhanças podem ser descobertas ao comparar os locais de vazamento de dados das duas unidades.

As coisas ficam ainda mais claras quando você leva em consideração as características das cargas úteis de ransomware dos grupos. Ambas as ameaças usam os algoritmos de criptografia RSA-2048 e AES-256, têm o mesmo hash de importação e cálculo de deslocamento de ponto de entrada idêntico. Por outro lado, todas as diferenças visíveis atualmente são nada mais do que cosméticas.