2020年12月上旬,美国联邦调查局对DoppelPaymer发出警告,这是一个新兴的勒索软件家族,于2019年针对重点行业的企业进行攻击时首次被发现。该公司的活动贯穿整个2020年,包括下半年发生的一系列事件,这些事件使受害者难以开展业务。什么是DoppelPaymer?DoppelPaymer被认为是基于BitPaymer勒索软件(首次出现于2017年),因为它们的代码、勒索票据和支付门户相似。但是,重要的是要注意DoppelPaymer和BitPaymer之间存在一些差异。例如,DoppelPaymer使用2048位RSA+256位AES进行加密,而BitPaymer使用4096位RSA+256位AES(旧版本使用1024位RSA+128位RC4)。此外,DoppelPaymer通过使用线程文件加密提高了BitPaymer的加密率。两者之间的另一个区别是,在DoppelPaymer可以执行其恶意例程之前,它需要具有正确的命令行参数。根据我们对遇到的样本的经验,不同的样本有不同的参数。攻击者可以使用此技术来避免通过沙箱分析进行检测,并阻止安全研究人员研究样本。也许DoppelPaymer最独特的方面是它使用了一个名为ProcessHacker的工具,它用来杀死服务和进程以防止加密期间的访问违规。与许多流行的勒索软件家族一样,DoppelPaymer要求为解密文件支付大量赎金,从25,000美元到120万美元不等。此外,从2020年2月开始,DoppelPaymer背后的攻击者启动了一个数据泄露网站。然后,他们威胁受害者支付赎金或在网站上发布他们被盗的文件,作为勒索软件勒索计划的一部分。DoppelPaymer的攻击流程DoppelPaymer的攻击流程DoppelPaymer使用相当复杂的例程,首先通过包含鱼叉式网络钓鱼链接或附件的恶意垃圾邮件进行网络渗透,旨在引诱毫无戒心的用户执行恶意代码,通常伪装成真实文档,此代码负责将其他具有更高级功能的恶意软件(例如Emotet)下载到受害者的系统上。下载Emotet后,它会与其命令和控制(C&C)服务器通信以安装各种模块,以及下载和执行其他恶意软件。对于DoppelPaymer活动,C&C服务器用于下载和执行Dridex恶意软件系列,后者又用于直接下载DoppelPaymer或PowerShellEmpire、CobaltStrike、PsExec和Mimikatz等工具。这些工具中的每一个都用于各种活动,例如窃取凭据、在网络内部横向移动以及执行不同的命令(例如禁用安全软件)。一旦Dridex进入系统,攻击者并没有立即部署勒索软件。相反,它会尝试在受影响系统的网络内横向移动,以找到可从中窃取关键信息的高价值目标。一旦找到目标,Dridex就会继续执行其最终有效载荷DoppelPaymer,它会加密在网络中找到的文件,以及受影响系统上的固定和可移动驱动器。最后,DoppelPaymer会在强制系统重启进入安全模式之前更改用户密码,阻止用户从系统进入。然后它会更改Windows在进入登录屏幕之前显示的通知文本。现在,新的通知文本变成了DoppelPaymer的勒索字条,警告用户不要重置或关闭系统,也不要删除、重命名或移动加密文件。该通知还威胁说,如果他们不支付要求他们支付的赎金,他们的敏感数据将被公开。攻击目标根据FBI的调查,DoppelPaymer的主要目标是医疗保健、紧急服务和教育机构。该勒索软件在2020年参与了多起攻击事件,包括今年年中对美国社区学院和城市警察和紧急服务部门的攻击。DoppelPaymer在2020年9月特别活跃,当时勒索软件针对一家德国医院,导致通信中断和一般业务中断。同月,它还将目光投向了该县的E911中心以及另一所社区学院。缓解措施组织可以通过确保安全最佳实践来保护自己免受DoppelPaymer等勒索软件的侵害:1.不要打开未经验证的电子邮件,也不要单击这些消息中嵌入的链接或附件;2.定期备份重要文件:以两种不同的文件格式创建三个备份副本,其中一个备份在单独的物理位置;3.尽快用最新的补丁更新软件和应用程序,使其免受漏洞侵害;4.在每个备份会话结束时,确保备份安全并断开网络连接;5.定期审核用户账户,尤其是那些可公开访问的账户,如远程监控和管理账户;6.监控入站和出站网络7.对用户登录凭据实施双因素身份验证(2FA),因为这有助于增强用户帐户的安全性;8.对文件、目录和网络共享权限实行最小权限原则。IOC本文翻译自:https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如有转载请注明原文地址。
