悲しみのランサムウェア

Grief Ransomwareは、RaaS（Ransomware-as-a-Service）スキームを運用する新たに出現したハッカーグループです。わずか数か月間活動していたにもかかわらず、サイバー犯罪者は20人以上の犠牲者を何とか集めました。この数は、GriefRansomwareのデータ漏洩サイトにアップロードされたファイルに基づいています。潜在的な被害者の1人はギリシャの都市テッサロニキであるように思われ、ハッカーは証拠としてアーカイブファイルを公開しています。活発な活動は、Grief Ransomwareの衣装が、地下のハッカーの世界でつながりを持つ経験豊富なオペレーターで構成されていることを示しています。実際、infosecの研究者は、Griefが最近暗くなったランサムウェアの衣装であるDoppelPaymerの続きであるという説得力のある証拠を発見しました。

GriefRansomwareはDoppelPaymerのリブランドである可能性があります

DoppelPaymerは、すべての人を震撼させた大規模なランサムウェア侵害の余波を受けて活動を停止しました。Revilは、IT管理およびリモート監視会社のKaseyaと食肉供給業者のJBを危険にさらし、DarkSideはコロニアルパイプラインを混乱させました。不要な精査を回避するために、いくつかのハッカーフォーラムは、潜在的なRaaS操作に関するトピックを禁止することを決定しました。

GriefとDoppelPaymerの重複は多すぎて重要すぎて、単なる偶然では説明できません。どちらのグループも、 Dridexボットネットを使用してランサムウェアのペイロードを配布し、ランサムウェアのペイロードは同じ暗号化ファイル形式を使用しています。 Griefの初期には、いくつかのペイロードサンプルが身代金メモを落とし、不思議なことに、潜在的な被害者をDopplePaymerポータルに向けました。 2つの衣装のデータ漏洩サイトを比較すると、さらに類似点が見つかります。

グループのランサムウェアペイロードの特性を考慮すると、事態はさらに明確になります。どちらの脅威もRSA-2048およびAES-256暗号化アルゴリズムを使用し、同じインポートハッシュ、および同じエントリポイントオフセット計算を備えています。一方、現在目に見える違いはすべて、見た目だけです。