Entropy Ransomware

El Entropy Ransomware es una amenaza de malware que se ha utilizado en operaciones amenazantes desde al menos noviembre de 2021. Los ciberdelincuentes responsables de la amenaza utilizan un esquema de doble extorsión para obligar a sus víctimas a pagar el rescate exigido. Primero, recopilan información confidencial y luego implementan Entropy para bloquear los archivos en las computadoras comprometidas. Luego, los atacantes amenazan con publicar la información extraída a través de un sitio de fugas dedicado. Hasta el momento, el sitio de los grupos enumera nueve víctimas totales de los sectores público y privado.

Conexión con Dridex y EvilCorp

Según un informe publicado por Sophos, Entropy Ransomware contiene múltiples similitudes a nivel de código con la infame amenaza troyana conocida como Dridex. Dridex fue desarrollado como un troyano bancarioinicialmente, pero pronto se equipó con una funcionalidad intrusiva ampliada y se convirtió en una amenaza invasiva de propósito general. Dridex se difundió a través de correos electrónicos de phishing y se atribuye al grupo de piratas informáticos EvilCorp (Indrik Spider).

Sin embargo, esta no es la única conexión entre EvilCorp y Entropy Ransomware. En el informe de Sophos, los investigadores señalan que los sistemas en los que se detectó el código del empaquetador de Entropy también fueron atacados por DoppelPaymer Ransomware. DoppelPaymer es otra amenaza de malware atribuida a EvilCorp.

Cabe señalar que este no es el primer intento del grupo de cambiar su marca desde las sanciones promulgadas por el Departamento del Tesoro de EE. UU. en 2019. Para evitar la prohibición, los piratas informáticos se movieron a través de varios nombres de ransomware, incluidos WastedLocker, Hades y Phoenix.