Grief Ransomware

Grief Ransomware Описание

Grief Ransomware - это недавно возникшая хакерская группа, работающая по схеме RaaS (Ransomware-as-a-Service). Несмотря на свою активность всего пару месяцев, киберпреступники сумели собрать более 20 жертв. Число основано на файлах, загруженных на сайт утечки данных Grief Ransomware. Одной из потенциальных жертв, похоже, является греческий город Салоники, и хакеры опубликовали архивный файл в качестве доказательства. Шквал активности показывает, что группа Grief Ransomware состоит из опытных операторов, имеющих связи в подпольном мире хакеров. Действительно, исследователи информационной безопасности обнаружили убедительные доказательства того, что Grief является продолжением DoppelPaymer , вымогателя, который недавно прекратил свою деятельность.

Программа-вымогатель Grief может быть ребрендингом DoppelPaymer

DoppelPaymer прекратил свою деятельность после массовых взломов программ-вымогателей, потрясших всех - REvil поставил под угрозу компанию Kaseya, занимающуюся управлением ИТ и удаленным мониторингом, и поставщика мяса JBs, в то время как DarkSide нарушил работу Colonial Pipeline. Чтобы избежать нежелательной проверки, несколько хакерских форумов решили запретить любую тему, касающуюся потенциальных операций RaaS.

Перекрытия между Grief и DoppelPaymer слишком многочисленны и слишком значительны, чтобы их можно было объяснить простыми совпадениями. Обе группы используют ботнет Dridex для распространения полезной нагрузки программ-вымогателей, которые, в свою очередь, используют один и тот же формат зашифрованных файлов. В первые дни Grief несколько образцов полезной нагрузки сбросили записку о выкупе, которая, как ни странно, указала потенциальным жертвам на портал DopplePaymer. Дальнейшее сходство можно обнаружить при сравнении сайтов утечки данных двух организаций.

Ситуация становится еще более ясной, если принять во внимание характеристики полезных нагрузок вымогателей в группах. Обе угрозы используют алгоритмы шифрования RSA-2048 и AES-256, имеют одинаковое хеширование импорта и идентичный расчет смещения точки входа. С другой стороны, все видимые на данный момент отличия носят не более чем косметический характер.

Похожие сообщения