Deuil Ransomware

The Grief Ransomware est un nouveau groupe de pirates informatiques qui exploite un système RaaS (Ransomware-as-a-Service). Bien qu'ils soient actifs depuis quelques mois seulement, les cybercriminels ont réussi à faire plus de 20 victimes. Le nombre est basé sur les fichiers téléchargés sur le site de fuite de données de Grief Ransomware. L'une des victimes potentielles semble être la ville grecque de Thessalonique, les pirates ayant publié un fichier d'archive comme preuve. Le tourbillon d'activités montre que l'équipe de Grief Ransomware se compose d'opérateurs expérimentés ayant des connexions dans le monde des pirates informatiques souterrains. En effet, les chercheurs d'infosec ont trouvé des preuves convaincantes que Grief est une continuation de DoppelPaymer , un ensemble de ransomware qui est récemment devenu sombre.

Grief Ransomware peut être une nouvelle image de DoppelPaymer

DoppelPaymer a fermé ses activités à la suite des brèches massives de ransomware qui ont secoué tout le monde - REvil compromettant la société de gestion informatique et de surveillance à distance Kaseya et le fournisseur de viande JBs tandis que DarkSide perturbait Colonial Pipeline. Pour éviter tout examen indésirable, plusieurs forums de hackers ont décidé d'interdire tout sujet concernant les opérations RaaS potentielles.

Les chevauchements entre Grief et DoppelPaymer sont trop nombreux et trop importants pour être expliqués par de simples coïncidences. Les deux groupes utilisent le botnet Dridex pour distribuer leurs charges utiles de ransomware, qui, à leur tour, utilisent le même format de fichier crypté. Au début de Grief, plusieurs échantillons de charge utile ont laissé tomber une note de rançon qui, curieusement, a dirigé les victimes potentielles vers le portail DopplePaymer. D'autres similitudes peuvent être découvertes en comparant les sites de fuite de données des deux tenues.

Les choses deviennent encore plus claires lorsque vous prenez en considération les caractéristiques des charges utiles des ransomwares des groupes. Les deux menaces utilisent les algorithmes de cryptage RSA-2048 et AES-256, ont le même hachage d'importation et un calcul de décalage de point d'entrée identique. D'un autre côté, toutes les différences actuellement visibles ne sont que cosmétiques.