Grief ransomware

Grief ransomware Descripción

Grief Ransomware es un grupo de piratas informáticos de reciente aparición que opera un esquema RaaS (Ransomware-as-a-Service). A pesar de estar activos solo un par de meses, los ciberdelincuentes han logrado acumular más de 20 víctimas. El número se basa en los archivos cargados en el sitio de filtración de datos de Grief Ransomware. Una de las víctimas potenciales parece ser la ciudad griega de Salónica, y los piratas informáticos publicaron un archivo de archivo como prueba. La ráfaga de actividad muestra que el equipo Grief Ransomware está formado por operadores experimentados con conexiones en el mundo clandestino de los piratas informáticos. De hecho, los investigadores de infosec han encontrado pruebas convincentes de que Grief es una continuación de DoppelPaymer , un equipo de ransomware que recientemente se apagó.

Grief Ransomware puede ser un cambio de marca de DoppelPaymer

DoppelPaymer cerró sus actividades a raíz de las violaciones masivas de ransomware que sacudieron a todos: REvil comprometió a la empresa de administración de TI y monitoreo remoto Kaseya y al proveedor de carne JBs mientras DarkSide interrumpió Colonial Pipeline. Para evitar un escrutinio no deseado, varios foros de piratas informáticos decidieron prohibir cualquier tema relacionado con posibles operaciones RaaS.

Las superposiciones entre Grief y DoppelPaymer son demasiadas y demasiado significativas para ser explicadas por meras coincidencias. Ambos grupos emplean la botnet Dridex para distribuir sus cargas útiles de ransomware, que, a su vez, emplean el mismo formato de archivo cifrado. En los primeros días de Grief, varias muestras de carga útil arrojaron una nota de rescate que, curiosamente, señaló a las víctimas potenciales hacia el portal DopplePaymer. Se pueden descubrir más similitudes al comparar los sitios de fuga de datos de los dos equipos.

Las cosas se vuelven aún más claras cuando se tienen en cuenta las características de las cargas útiles de ransomware de los grupos. Ambas amenazas utilizan los algoritmos de cifrado RSA-2048 y AES-256, tienen el mismo hash de importación y un cálculo de compensación de punto de entrada idéntico. Por otro lado, todas las diferencias actualmente visibles no son más que cosméticas.

Artículos Relacionados