Entropy Ransomware

Entropy Ransomware är ett malware-hot som har använts i hotfulla verksamheter sedan åtminstone november 2021. De cyberbrottslingar som är ansvariga för hotet använder ett dubbelutpressningssystem för att tvinga sina offer att betala den begärda lösensumman. Först samlar de in känslig information och distribuerar sedan Entropy för att låsa filerna på de komprometterade datorerna. Angriparna hotar sedan att publicera den exfiltrerade informationen via en dedikerad läcksida. Hittills listar gruppens webbplats nio totala offer från både den offentliga och privata sektorn.

Anslutning till Dridex och EvilCorp

Enligt en rapport som släppts av Sophos innehåller Entropy Ransomware flera likheter på kodnivå med det ökända trojanska hotet som kallas Dridex. Dridex utvecklades som en banktrojaninitialt men utrustades snart med utökad påträngande funktionalitet och förvandlades till ett allmänt invasivt hot. Dridex spreds via nätfiske-e-post och hänförs till hackergruppen EvilCorp (Indrik Spider).

Detta är dock inte den enda kopplingen mellan EvilCorp och Entropy Ransomware. I rapporten från Sophos påpekar forskarna att system, där Entropys packarkod upptäcktes, också var inriktade på DoppelPaymer Ransomware. DoppelPaymer är ett annat hot mot skadlig programvara som tillskrivs EvilCorp.

Det bör påpekas att detta inte är gruppens första försök att omprofilera sig själv sedan sanktionerna som antogs av det amerikanska finansdepartementet 2019. För att undvika förbudet gick hackarna igenom flera ransomware-namn inklusive WastedLocker, Hades och Phoenix.