[[385152]]

2020年12月初，F(xiàn)BI發(fā)布了關(guān)于DoppelPaymer的警告，這是一個(gè)新出現(xiàn)的勒索軟件家族，于2019年首次被發(fā)現(xiàn)，當(dāng)時(shí)它對(duì)關(guān)鍵行業(yè)的企業(yè)發(fā)起了攻擊。該公司的活動(dòng)在整個(gè)2020年持續(xù)進(jìn)行，包括今年下半年發(fā)生的一系列事件，導(dǎo)致受害者難以正常開展業(yè)務(wù)。

DoppelPaymer是什么?

DoppelPaymer被認(rèn)為是基于BitPaymer勒索軟件(首次出現(xiàn)于2017年)開發(fā)的，因?yàn)樗麄兊拇a、贖金通知和支付門戶都很相似。然而，需要注意的是，DoppelPaymer和BitPaymer之間有一些區(qū)別。例如，DoppelPaymer使用2048-bit RSA + 256-bit AES進(jìn)行加密，而BitPaymer使用4096-bit RSA + 256-bit AES(舊版本使用1024-bit RSA + 128-bit RC4)。此外，DoppelPaymer通過使用線程文件加密提高了BitPaymer的加密速率。

兩者之間的另一個(gè)區(qū)別是，在DoppelPaymer執(zhí)行它的惡意例程之前，它需要有正確的命令行參數(shù)。根據(jù)我們所遇到的樣本的經(jīng)驗(yàn)，不同的樣本具有不同的參數(shù)。這種技術(shù)可能被攻擊者用來(lái)通過沙盒分析來(lái)避免被檢測(cè)到，以及防止安全研究人員研究樣本。

也許DoppelPaymer最獨(dú)特的方面是它使用了一個(gè)叫做ProcessHacker的工具，它使用這個(gè)工具來(lái)終止服務(wù)和進(jìn)程，以防止在加密期間訪問沖突。

與流行的許多勒索軟件家族一樣，DoppelPaymer要求解密文件的贖金數(shù)額相當(dāng)大，從25000美元到120萬(wàn)美元不等。此外，從2020年2月開始，DoppelPaymer背后的攻擊者啟動(dòng)了一個(gè)數(shù)據(jù)泄漏網(wǎng)站。然后，他們威脅受害者支付贖金，否則就在網(wǎng)站上公布他們盜竊的文件，這是勒索軟件勒索計(jì)劃的一部分。

DoppelPaymer的攻擊流程

DoppelPaymer的攻擊流程

DoppelPaymer使用一個(gè)相當(dāng)復(fù)雜的例程，首先通過惡意垃圾郵件進(jìn)行網(wǎng)絡(luò)滲透，這些垃圾郵件包含魚叉式網(wǎng)絡(luò)釣魚鏈接或附件，目的是引誘毫無(wú)戒心的用戶執(zhí)行惡意代碼，這些代碼通常偽裝成真實(shí)的文檔，此代碼負(fù)責(zé)將其他具有更高級(jí)功能的惡意軟件(例如Emotet)下載到受害者的系統(tǒng)中。

一旦Emotet被下載，它將與它的命令控制(C&C)服務(wù)器通信，以安裝各種模塊，以及下載和執(zhí)行其他惡意軟件。

對(duì)于DoppelPaymer活動(dòng)，C&C服務(wù)器用于下載并執(zhí)行Dridex惡意軟件家族，而Dridex惡意軟件家族又用于直接下載DoppelPaymer或諸如PowerShell Empire，Cobalt Strike，PsExec和Mimikatz之類的工具。這些工具中的每一個(gè)都用于各種活動(dòng)，例如竊取憑據(jù)，在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)以及執(zhí)行不同的命令(例如禁用安全軟件)。

Dridex進(jìn)入系統(tǒng)后，攻擊者并不會(huì)立即部署勒索軟件。相反，它試圖在受影響系統(tǒng)的網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，以找到一個(gè)高價(jià)值的目標(biāo)，從其中竊取關(guān)鍵信息。一旦找到目標(biāo)，Dridex將繼續(xù)執(zhí)行其最終有效負(fù)載DoppelPaymer，DoppelPaymer會(huì)對(duì)網(wǎng)絡(luò)中發(fā)現(xiàn)的文件以及受影響系統(tǒng)中的固定驅(qū)動(dòng)器和可移動(dòng)驅(qū)動(dòng)器進(jìn)行加密。

最后，DoppelPaymer將在強(qiáng)制系統(tǒng)重新啟動(dòng)進(jìn)入安全模式之前更改用戶密碼，以防止用戶從系統(tǒng)進(jìn)入。然后，它更改Windows進(jìn)入登錄屏幕之前顯示的通知文本。

現(xiàn)在，新的通知文本就變成了DoppelPaymer的贖金記錄，警告用戶不要重設(shè)或關(guān)閉系統(tǒng)，也不要?jiǎng)h除、重命名或移動(dòng)加密的文件。該說明還威脅稱，如果他們不支付要求他們支付的贖金，他們的敏感數(shù)據(jù)就將被公開。

攻擊目標(biāo)

根據(jù)聯(lián)邦調(diào)查局的調(diào)查，DoppelPaymer的主要目標(biāo)是醫(yī)療保健、緊急服務(wù)和教育機(jī)構(gòu)。2020年，該勒索軟件已經(jīng)參與了多起襲擊，其中包括今年年中對(duì)美國(guó)一所社區(qū)大學(xué)以及一座城市的警察和應(yīng)急服務(wù)的攻擊。

DoppelPaymer在2020年9月特別活躍，該勒索軟件的目標(biāo)是一家德國(guó)醫(yī)院，導(dǎo)致通訊中斷和一般業(yè)務(wù)中斷。同月，它還將目光投向了縣的E911中心以及另一所社區(qū)大學(xué)。

緩解措施

組織可以通過確保安全最佳實(shí)踐來(lái)保護(hù)自己免受諸如DoppelPaymer之類的勒索軟件的攻擊：

1.不要打開未經(jīng)驗(yàn)證的電子郵件，不要點(diǎn)擊這些郵件中嵌入的鏈接或附件;

2.定期備份重要文件：用兩種不同的文件格式創(chuàng)建三個(gè)備份副本，其中一個(gè)備份放在單獨(dú)的物理位置;

3.盡快用最新的補(bǔ)丁程序更新軟件和應(yīng)用程序，使它們免受漏洞攻擊;

4.在每次備份會(huì)話結(jié)束時(shí)，確保備份安全并與網(wǎng)絡(luò)斷開連接;

5.定期審核用戶帳戶，尤其是那些可公開訪問的帳戶，例如遠(yuǎn)程監(jiān)控和管理帳戶;

6.監(jiān)控入站和出站網(wǎng)絡(luò)流量，并提供數(shù)據(jù)泄漏警報(bào);

7.為用戶登錄憑據(jù)實(shí)施兩因素身份驗(yàn)證(2FA)，因?yàn)檫@可以幫助增強(qiáng)用戶帳戶的安全性;

8.實(shí)現(xiàn)文件、目錄和網(wǎng)絡(luò)共享權(quán)限的最小權(quán)限原則。

IOC

本文翻譯自：https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。