DoppelPaymer勒索軟件的最新攻擊趨勢總結

gejigeji
DoppelPaymer將在強制系統(tǒng)重新啟動進入安全模式之前更改用戶密碼,以防止用戶從系統(tǒng)進入。然后,它更改Windows進入登錄屏幕之前顯示的通知文本。

2020年12月初,F(xiàn)BI發(fā)布了關于DoppelPaymer的警告,這是一個新出現(xiàn)的勒索軟件家族,于2019年首次被發(fā)現(xiàn),當時它對關鍵行業(yè)的企業(yè)發(fā)起了攻擊。該公司的活動在整個2020年持續(xù)進行,包括今年下半年發(fā)生的一系列事件,導致受害者難以正常開展業(yè)務。

DoppelPaymer是什么?

DoppelPaymer被認為是基于BitPaymer勒索軟件(首次出現(xiàn)于2017年)開發(fā)的,因為他們的代碼、贖金通知和支付門戶都很相似。然而,需要注意的是,DoppelPaymer和BitPaymer之間有一些區(qū)別。例如,DoppelPaymer使用2048-bit RSA+256-bit AES進行加密,而BitPaymer使用4096-bit RSA+256-bit AES(舊版本使用1024-bit RSA+128-bit RC4)。此外,DoppelPaymer通過使用線程文件加密提高了BitPaymer的加密速率。

兩者之間的另一個區(qū)別是,在DoppelPaymer執(zhí)行它的惡意例程之前,它需要有正確的命令行參數(shù)。根據(jù)我們所遇到的樣本的經(jīng)驗,不同的樣本具有不同的參數(shù)。這種技術可能被攻擊者用來通過沙盒分析來避免被檢測到,以及防止安全研究人員研究樣本。

也許DoppelPaymer最獨特的方面是它使用了一個叫做ProcessHacker的工具,它使用這個工具來終止服務和進程,以防止在加密期間訪問沖突。

與流行的許多勒索軟件家族一樣,DoppelPaymer要求解密文件的贖金數(shù)額相當大,從25000美元到120萬美元不等。此外,從2020年2月開始,DoppelPaymer背后的攻擊者啟動了一個數(shù)據(jù)泄漏網(wǎng)站。然后,他們威脅受害者支付贖金,否則就在網(wǎng)站上公布他們盜竊的文件,這是勒索軟件勒索計劃的一部分。

DoppelPaymer的攻擊流程

360截圖16491215155407.png

DoppelPaymer的攻擊流程

DoppelPaymer使用一個相當復雜的例程,首先通過惡意垃圾郵件進行網(wǎng)絡滲透,這些垃圾郵件包含魚叉式網(wǎng)絡釣魚鏈接或附件,目的是引誘毫無戒心的用戶執(zhí)行惡意代碼,這些代碼通常偽裝成真實的文檔,此代碼負責將其他具有更高級功能的惡意軟件(例如Emotet)下載到受害者的系統(tǒng)中。

一旦Emotet被下載,它將與它的命令控制(C&C)服務器通信,以安裝各種模塊,以及下載和執(zhí)行其他惡意軟件。

對于DoppelPaymer活動,C&C服務器用于下載并執(zhí)行Dridex惡意軟件家族,而Dridex惡意軟件家族又用于直接下載DoppelPaymer或諸如PowerShell Empire,Cobalt Strike,PsExec和Mimikatz之類的工具。這些工具中的每一個都用于各種活動,例如竊取憑據(jù),在網(wǎng)絡內部橫向移動以及執(zhí)行不同的命令(例如禁用安全軟件)。

Dridex進入系統(tǒng)后,攻擊者并不會立即部署勒索軟件。相反,它試圖在受影響系統(tǒng)的網(wǎng)絡內橫向移動,以找到一個高價值的目標,從其中竊取關鍵信息。一旦找到目標,Dridex將繼續(xù)執(zhí)行其最終有效負載DoppelPaymer,DoppelPaymer會對網(wǎng)絡中發(fā)現(xiàn)的文件以及受影響系統(tǒng)中的固定驅動器和可移動驅動器進行加密。

最后,DoppelPaymer將在強制系統(tǒng)重新啟動進入安全模式之前更改用戶密碼,以防止用戶從系統(tǒng)進入。然后,它更改Windows進入登錄屏幕之前顯示的通知文本。

現(xiàn)在,新的通知文本就變成了DoppelPaymer的贖金記錄,警告用戶不要重設或關閉系統(tǒng),也不要刪除、重命名或移動加密的文件。該說明還威脅稱,如果他們不支付要求他們支付的贖金,他們的敏感數(shù)據(jù)就將被公開。

攻擊目標

根據(jù)聯(lián)邦調查局的調查,DoppelPaymer的主要目標是醫(yī)療保健、緊急服務和教育機構。2020年,該勒索軟件已經(jīng)參與了多起襲擊,其中包括今年年中對美國一所社區(qū)大學以及一座城市的警察和應急服務的攻擊。

DoppelPaymer在2020年9月特別活躍,該勒索軟件的目標是一家德國醫(yī)院,導致通訊中斷和一般業(yè)務中斷。同月,它還將目光投向了縣的E911中心以及另一所社區(qū)大學。

緩解措施

組織可以通過確保安全最佳實踐來保護自己免受諸如DoppelPaymer之類的勒索軟件的攻擊:

1.不要打開未經(jīng)驗證的電子郵件,不要點擊這些郵件中嵌入的鏈接或附件;

2.定期備份重要文件:用兩種不同的文件格式創(chuàng)建三個備份副本,其中一個備份放在單獨的物理位置;

3.盡快用最新的補丁程序更新軟件和應用程序,使它們免受漏洞攻擊;

4.在每次備份會話結束時,確保備份安全并與網(wǎng)絡斷開連接;

5.定期審核用戶帳戶,尤其是那些可公開訪問的帳戶,例如遠程監(jiān)控和管理帳戶;

6.監(jiān)控入站和出站網(wǎng)絡流量,并提供數(shù)據(jù)泄漏警報;

7.為用戶登錄憑據(jù)實施兩因素身份驗證(2FA),因為這可以幫助增強用戶帳戶的安全性;

8.實現(xiàn)文件、目錄和網(wǎng)絡共享權限的最小權限原則。

IOC

360截圖16491215155407.png

本文翻譯自:https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論

本月熱門