[[385152]]

2020年12月初，FBI發(fā)布了關于DoppelPaymer的警告，這是一個新出現的勒索軟件家族，于2019年首次被發(fā)現，當時它對關鍵行業(yè)的企業(yè)發(fā)起了攻擊。該公司的活動在整個2020年持續(xù)進行，包括今年下半年發(fā)生的一系列事件，導致受害者難以正常開展業(yè)務。

DoppelPaymer是什么?

DoppelPaymer被認為是基于BitPaymer勒索軟件(首次出現于2017年)開發(fā)的，因為他們的代碼、贖金通知和支付門戶都很相似。然而，需要注意的是，DoppelPaymer和BitPaymer之間有一些區(qū)別。例如，DoppelPaymer使用2048-bit RSA + 256-bit AES進行加密，而BitPaymer使用4096-bit RSA + 256-bit AES(舊版本使用1024-bit RSA + 128-bit RC4)。此外，DoppelPaymer通過使用線程文件加密提高了BitPaymer的加密速率。

兩者之間的另一個區(qū)別是，在DoppelPaymer執(zhí)行它的惡意例程之前，它需要有正確的命令行參數。根據我們所遇到的樣本的經驗，不同的樣本具有不同的參數。這種技術可能被攻擊者用來通過沙盒分析來避免被檢測到，以及防止安全研究人員研究樣本。

也許DoppelPaymer最獨特的方面是它使用了一個叫做ProcessHacker的工具，它使用這個工具來終止服務和進程，以防止在加密期間訪問沖突。

與流行的許多勒索軟件家族一樣，DoppelPaymer要求解密文件的贖金數額相當大，從25000美元到120萬美元不等。此外，從2020年2月開始，DoppelPaymer背后的攻擊者啟動了一個數據泄漏網站。然后，他們威脅受害者支付贖金，否則就在網站上公布他們盜竊的文件，這是勒索軟件勒索計劃的一部分。

DoppelPaymer的攻擊流程

DoppelPaymer的攻擊流程

DoppelPaymer使用一個相當復雜的例程，首先通過惡意垃圾郵件進行網絡滲透，這些垃圾郵件包含魚叉式網絡釣魚鏈接或附件，目的是引誘毫無戒心的用戶執(zhí)行惡意代碼，這些代碼通常偽裝成真實的文檔，此代碼負責將其他具有更高級功能的惡意軟件(例如Emotet)下載到受害者的系統中。

一旦Emotet被下載，它將與它的命令控制(C&C)服務器通信，以安裝各種模塊，以及下載和執(zhí)行其他惡意軟件。

對于DoppelPaymer活動，C&C服務器用于下載并執(zhí)行Dridex惡意軟件家族，而Dridex惡意軟件家族又用于直接下載DoppelPaymer或諸如PowerShell Empire，Cobalt Strike，PsExec和Mimikatz之類的工具。這些工具中的每一個都用于各種活動，例如竊取憑據，在網絡內部橫向移動以及執(zhí)行不同的命令(例如禁用安全軟件)。

Dridex進入系統后，攻擊者并不會立即部署勒索軟件。相反，它試圖在受影響系統的網絡內橫向移動，以找到一個高價值的目標，從其中竊取關鍵信息。一旦找到目標，Dridex將繼續(xù)執(zhí)行其最終有效負載DoppelPaymer，DoppelPaymer會對網絡中發(fā)現的文件以及受影響系統中的固定驅動器和可移動驅動器進行加密。

最后，DoppelPaymer將在強制系統重新啟動進入安全模式之前更改用戶密碼，以防止用戶從系統進入。然后，它更改Windows進入登錄屏幕之前顯示的通知文本。

現在，新的通知文本就變成了DoppelPaymer的贖金記錄，警告用戶不要重設或關閉系統，也不要刪除、重命名或移動加密的文件。該說明還威脅稱，如果他們不支付要求他們支付的贖金，他們的敏感數據就將被公開。

攻擊目標

根據聯邦調查局的調查，DoppelPaymer的主要目標是醫(yī)療保健、緊急服務和教育機構。2020年，該勒索軟件已經參與了多起襲擊，其中包括今年年中對美國一所社區(qū)大學以及一座城市的警察和應急服務的攻擊。

DoppelPaymer在2020年9月特別活躍，該勒索軟件的目標是一家德國醫(yī)院，導致通訊中斷和一般業(yè)務中斷。同月，它還將目光投向了縣的E911中心以及另一所社區(qū)大學。

緩解措施

組織可以通過確保安全最佳實踐來保護自己免受諸如DoppelPaymer之類的勒索軟件的攻擊：

1.不要打開未經驗證的電子郵件，不要點擊這些郵件中嵌入的鏈接或附件;

2.定期備份重要文件：用兩種不同的文件格式創(chuàng)建三個備份副本，其中一個備份放在單獨的物理位置;

3.盡快用最新的補丁程序更新軟件和應用程序，使它們免受漏洞攻擊;

4.在每次備份會話結束時，確保備份安全并與網絡斷開連接;

5.定期審核用戶帳戶，尤其是那些可公開訪問的帳戶，例如遠程監(jiān)控和管理帳戶;

6.監(jiān)控入站和出站網絡流量，并提供數據泄漏警報;

7.為用戶登錄憑據實施兩因素身份驗證(2FA)，因為這可以幫助增強用戶帳戶的安全性;

8.實現文件、目錄和網絡共享權限的最小權限原則。

IOC

本文翻譯自：https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如若轉載，請注明原文地址。