2020年12月初,FBI发布了关于DoppelPaymer的警告,这是一个新出现的勒索软件家族,于2019年首次被发现,当时它对关键行业的企业发起了攻击。该公司的活动在整个2020年持续进行,包括今年下半年发生的一系列事件,导致受害者难以正常开展业务。
DoppelPaymer是什么?
DoppelPaymer被认为是基于BitPaymer勒索软件(首次出现于2017年)开发的,因为他们的代码、赎金通知和支付门户都很相似。然而,需要注意的是,DoppelPaymer和BitPaymer之间有一些区别。例如,DoppelPaymer使用2048-bit RSA + 256-bit AES进行加密,而BitPaymer使用4096-bit RSA + 256-bit AES(旧版本使用1024-bit RSA + 128-bit RC4)。此外,DoppelPaymer通过使用线程文件加密提高了BitPaymer的加密速率。
两者之间的另一个区别是,在DoppelPaymer执行它的恶意例程之前,它需要有正确的命令行参数。根据我们所遇到的样本的经验,不同的样本具有不同的参数。这种技术可能被攻击者用来通过沙盒分析来避免被检测到,以及防止安全研究人员研究样本。
也许DoppelPaymer最独特的方面是它使用了一个叫做ProcessHacker的工具,它使用这个工具来终止服务和进程,以防止在加密期间访问冲突。
与流行的许多勒索软件家族一样,DoppelPaymer要求解密文件的赎金数额相当大,从25000美元到120万美元不等。此外,从2020年2月开始,DoppelPaymer背后的攻击者启动了一个数据泄漏网站。然后,他们威胁受害者支付赎金,否则就在网站上公布他们盗窃的文件,这是勒索软件勒索计划的一部分。
DoppelPaymer的攻击流程
DoppelPaymer的攻击流程
DoppelPaymer使用一个相当复杂的例程,首先通过恶意垃圾邮件进行网络渗透,这些垃圾邮件包含鱼叉式网络钓鱼链接或附件,目的是引诱毫无戒心的用户执行恶意代码,这些代码通常伪装成真实的文档,此代码负责将其他具有更高级功能的恶意软件(例如Emotet)下载到受害者的系统中。
一旦Emotet被下载,它将与它的命令控制(C&C)服务器通信,以安装各种模块,以及下载和执行其他恶意软件。
对于DoppelPaymer活动,C&C服务器用于下载并执行Dridex恶意软件家族,而Dridex恶意软件家族又用于直接下载DoppelPaymer或诸如PowerShell Empire,Cobalt Strike,PsExec和Mimikatz之类的工具。这些工具中的每一个都用于各种活动,例如窃取凭据,在网络内部横向移动以及执行不同的命令(例如禁用安全软件)。
Dridex进入系统后,攻击者并不会立即部署勒索软件。相反,它试图在受影响系统的网络内横向移动,以找到一个高价值的目标,从其中窃取关键信息。一旦找到目标,Dridex将继续执行其最终有效负载DoppelPaymer,DoppelPaymer会对网络中发现的文件以及受影响系统中的固定驱动器和可移动驱动器进行加密。
最后,DoppelPaymer将在强制系统重新启动进入安全模式之前更改用户密码,以防止用户从系统进入。然后,它更改Windows进入登录屏幕之前显示的通知文本。
现在,新的通知文本就变成了DoppelPaymer的赎金记录,警告用户不要重设或关闭系统,也不要删除、重命名或移动加密的文件。该说明还威胁称,如果他们不支付要求他们支付的赎金,他们的敏感数据就将被公开。
攻击目标
根据联邦调查局的调查,DoppelPaymer的主要目标是医疗保健、紧急服务和教育机构。2020年,该勒索软件已经参与了多起袭击,其中包括今年年中对美国一所社区大学以及一座城市的警察和应急服务的攻击。
DoppelPaymer在2020年9月特别活跃,该勒索软件的目标是一家德国医院,导致通讯中断和一般业务中断。同月,它还将目光投向了县的E911中心以及另一所社区大学。
缓解措施
组织可以通过确保安全最佳实践来保护自己免受诸如DoppelPaymer之类的勒索软件的攻击:
不要打开未经验证的电子邮件,不要点击这些邮件中嵌入的链接或附件;
定期备份重要文件:用两种不同的文件格式创建三个备份副本,其中一个备份放在单独的物理位置;
尽快用最新的补丁程序更新软件和应用程序,使它们免受漏洞攻击;
在每次备份会话结束时,确保备份安全并与网络断开连接;
定期审核用户帐户,尤其是那些可公开访问的帐户,例如远程监控和管理帐户;
监控入站和出站网络流量,并提供数据泄漏警报;
为用户登录凭据实施两因素身份验证(2FA),因为这可以帮助增强用户帐户的安全性;
实现文件、目录和网络共享权限的最小权限原则。
IOC
本文翻译自:https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如若转载,请注明原文地址。