Entropy Ransomware

Entropy Ransomware est une menace malveillante utilisée dans des opérations menaçantes depuis au moins novembre 2021. Les cybercriminels responsables de la menace utilisent un système de double extorsion pour forcer leurs victimes à payer la rançon demandée. Tout d'abord, ils collectent des informations sensibles, puis déploient Entropy pour verrouiller les fichiers sur les ordinateurs compromis. Les attaquants menacent alors de publier les informations exfiltrées via un site de fuite dédié. Jusqu'à présent, le site des groupes répertorie neuf victimes au total des secteurs public et privé.

Connexion à Dridex et EvilCorp

Selon un rapport publié par Sophos, Entropy Ransomware contient de multiples similitudes au niveau du code avec le tristement célèbre cheval de Troie connu sous le nom de Dridex. Dridex a été développé comme un cheval de Troie bancaireinitialement, mais a rapidement été équipé d'une fonctionnalité intrusive étendue et s'est transformé en une menace invasive à usage général. Dridex s'est propagé via des e-mails de phishing et est attribué au groupe de hackers EvilCorp (Indrik Spider).

Ce n'est cependant pas le seul lien entre EvilCorp et Entropy Ransomware. Dans le rapport de Sophos, les chercheurs soulignent que les systèmes, où le code de packer d'Entropy a été détecté, ont également été ciblés par le DoppelPaymer Ransomware. DoppelPaymer est une autre menace malveillante attribuée à EvilCorp.

Précisons qu'il ne s'agit pas de la première tentative du groupe de se rebaptiser depuis les sanctions décrétées par le département du Trésor américain en 2019. Pour éviter l'interdiction, les hackers sont passés par plusieurs noms de ransomwares dont WastedLocker, Hades et Phoenix.