Grans Ransomware

The Grief Ransomware är en nyuppkomna hackergrupp som driver ett RaaS-system (Ransomware-as-a-Service). Trots att de varit aktiva i bara ett par månader har cyberkriminella lyckats få ihop mer än 20 offer. Siffran är baserad på filerna som laddas upp på Grief Ransomwares dataläckage. Ett av de potentiella offren verkar vara den grekiska staden Thessaloniki, där hackarna publicerar en arkivfil som bevis. Flödet av aktivitet visar att Grief Ransomware -outfiten består av erfarna operatörer med anslutningar i den underjordiska hackervärlden. Faktum är att infosec -forskare har funnit övertygande bevis på att Grief är en fortsättning på DoppelPaymer , en ransomware -outfit som nyligen blev mörk.

Grief Ransomware kan vara en Rebrand av DoppelPaymer

DoppelPaymer stängde av sin verksamhet i efterdyningarna av de massiva ransomware -intrången som skakade alla - REvil äventyrar IT -hanterings- och fjärrövervakningsföretaget Kaseya och köttleverantören JBs medan DarkSide störde Colonial Pipeline. För att undvika oönskad granskning beslutade flera hackerforum att förbjuda alla ämnen angående potentiella RaaS -operationer.

Överlappningarna mellan Grief och DoppelPaymer är för många och för betydande för att förklaras av rena tillfälligheter. Båda grupperna använder Dridex -botnätet för att distribuera sin nyttolast för ransomware, som i sin tur använder samma krypterade filformat. I de första dagarna av sorg tappade flera nyttolastprover en lösenbrev som märkligt nog riktade de potentiella offren mot DopplePaymer -portalen. Ytterligare likheter kan upptäckas vid jämförelse av dataläckage för de två kläderna.

Saker och ting blir ännu tydligare när du tar hänsyn till egenskaperna hos ransomware nyttolaster för grupperna. Båda hoten använder krypteringsalgoritmerna RSA-2048 och AES-256, har samma import-hashning och identisk beräkning av ingångspunktförskjutning. Å andra sidan är alla de för närvarande synliga skillnaderna inget annat än kosmetiska.