Trauer-Ransomware

Die Grief Ransomware ist eine neu entstandene Hackergruppe, die ein RaaS-Schema (Ransomware-as-a-Service) betreibt. Obwohl die Cyberkriminellen nur ein paar Monate aktiv waren, haben sie es geschafft, mehr als 20 Opfer zu fassen. Die Zahl basiert auf den Dateien, die auf der Datenleck-Site von Grief Ransomware hochgeladen wurden. Eines der potenziellen Opfer scheint die griechische Stadt Thessaloniki zu sein, als Beweis haben die Hacker eine Archivdatei veröffentlicht. Die rege Aktivität zeigt, dass das Team von Grief Ransomware aus erfahrenen Operatoren mit Verbindungen in die unterirdische Hackerwelt besteht. Tatsächlich haben infosec-Forscher überzeugende Beweise dafür gefunden, dass Grief eine Fortsetzung von DoppelPaymer ist , einem Ransomware-Outfit, das kürzlich in Vergessenheit geraten ist.

Grief Ransomware ist möglicherweise ein Rebranding von DoppelPaymer

DoppelPaymer stellte seine Aktivitäten nach den massiven Ransomware- Einbrüchen ein , die alle erschütterten – REvil kompromittierte das IT-Management- und Fernüberwachungsunternehmen Kaseya und den Fleischlieferanten JBs, während DarkSide die Colonial Pipeline unterbrach. Um eine ungewollte Überprüfung zu vermeiden, haben mehrere Hacker-Foren beschlossen, jedes Thema zu potenziellen RaaS-Operationen zu verbieten.

Die Überschneidungen zwischen Grief und DoppelPaymer sind zu zahlreich und zu bedeutend, um durch bloße Zufälle erklärt zu werden. Beide Gruppen verwenden das Dridex- Botnet, um ihre Ransomware-Nutzlasten zu verteilen, die wiederum dasselbe verschlüsselte Dateiformat verwenden. In den frühen Tagen von Grief ließen mehrere Nutzlastproben eine Lösegeldforderung fallen, die die potenziellen Opfer seltsamerweise auf das DopplePaymer-Portal verwies. Weitere Ähnlichkeiten können beim Vergleich der Datenleckstellen der beiden Outfits entdeckt werden.

Noch deutlicher wird die Sache, wenn man die Eigenschaften der Ransomware-Nutzlasten der Gruppen berücksichtigt. Beide Bedrohungen verwenden die Verschlüsselungsalgorithmen RSA-2048 und AES-256, haben das gleiche Import-Hashing und die identische Berechnung des Eintrittspunkt-Offsets. Andererseits sind alle derzeit sichtbaren Unterschiede nichts weiter als kosmetischer Natur.