信息化觀察網(wǎng)

2020年12月初，F(xiàn)BI發(fā)布了關(guān)于DoppelPaymer的警告，這是一個(gè)新出現(xiàn)的勒索軟件家族，于2019年首次被發(fā)現(xiàn)，當(dāng)時(shí)它對(duì)關(guān)鍵行業(yè)的企業(yè)發(fā)起了攻擊。該公司的活動(dòng)在整個(gè)2020年持續(xù)進(jìn)行，包括今年下半年發(fā)生的一系列事件，導(dǎo)致受害者難以正常開(kāi)展業(yè)務(wù)。

DoppelPaymer是什么?

DoppelPaymer被認(rèn)為是基于BitPaymer勒索軟件(首次出現(xiàn)于2017年)開(kāi)發(fā)的，因?yàn)樗麄兊拇a、贖金通知和支付門(mén)戶(hù)都很相似。然而，需要注意的是，DoppelPaymer和BitPaymer之間有一些區(qū)別。例如，DoppelPaymer使用2048-bit RSA+256-bit AES進(jìn)行加密，而B(niǎo)itPaymer使用4096-bit RSA+256-bit AES(舊版本使用1024-bit RSA+128-bit RC4)。此外，DoppelPaymer通過(guò)使用線程文件加密提高了BitPaymer的加密速率。

兩者之間的另一個(gè)區(qū)別是，在DoppelPaymer執(zhí)行它的惡意例程之前，它需要有正確的命令行參數(shù)。根據(jù)我們所遇到的樣本的經(jīng)驗(yàn)，不同的樣本具有不同的參數(shù)。這種技術(shù)可能被攻擊者用來(lái)通過(guò)沙盒分析來(lái)避免被檢測(cè)到，以及防止安全研究人員研究樣本。

也許DoppelPaymer最獨(dú)特的方面是它使用了一個(gè)叫做ProcessHacker的工具，它使用這個(gè)工具來(lái)終止服務(wù)和進(jìn)程，以防止在加密期間訪問(wèn)沖突。

與流行的許多勒索軟件家族一樣，DoppelPaymer要求解密文件的贖金數(shù)額相當(dāng)大，從25000美元到120萬(wàn)美元不等。此外，從2020年2月開(kāi)始，DoppelPaymer背后的攻擊者啟動(dòng)了一個(gè)數(shù)據(jù)泄漏網(wǎng)站。然后，他們威脅受害者支付贖金，否則就在網(wǎng)站上公布他們盜竊的文件，這是勒索軟件勒索計(jì)劃的一部分。

DoppelPaymer的攻擊流程

DoppelPaymer的攻擊流程

DoppelPaymer使用一個(gè)相當(dāng)復(fù)雜的例程，首先通過(guò)惡意垃圾郵件進(jìn)行網(wǎng)絡(luò)滲透，這些垃圾郵件包含魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)鏈接或附件，目的是引誘毫無(wú)戒心的用戶(hù)執(zhí)行惡意代碼，這些代碼通常偽裝成真實(shí)的文檔，此代碼負(fù)責(zé)將其他具有更高級(jí)功能的惡意軟件（例如Emotet）下載到受害者的系統(tǒng)中。

一旦Emotet被下載，它將與它的命令控制(C&C)服務(wù)器通信，以安裝各種模塊，以及下載和執(zhí)行其他惡意軟件。

對(duì)于DoppelPaymer活動(dòng)，C＆C服務(wù)器用于下載并執(zhí)行Dridex惡意軟件家族，而Dridex惡意軟件家族又用于直接下載DoppelPaymer或諸如PowerShell Empire，Cobalt Strike，PsExec和Mimikatz之類(lèi)的工具。這些工具中的每一個(gè)都用于各種活動(dòng)，例如竊取憑據(jù)，在網(wǎng)絡(luò)內(nèi)部橫向移動(dòng)以及執(zhí)行不同的命令（例如禁用安全軟件）。

Dridex進(jìn)入系統(tǒng)后，攻擊者并不會(huì)立即部署勒索軟件。相反，它試圖在受影響系統(tǒng)的網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，以找到一個(gè)高價(jià)值的目標(biāo)，從其中竊取關(guān)鍵信息。一旦找到目標(biāo)，Dridex將繼續(xù)執(zhí)行其最終有效負(fù)載DoppelPaymer，DoppelPaymer會(huì)對(duì)網(wǎng)絡(luò)中發(fā)現(xiàn)的文件以及受影響系統(tǒng)中的固定驅(qū)動(dòng)器和可移動(dòng)驅(qū)動(dòng)器進(jìn)行加密。

最后，DoppelPaymer將在強(qiáng)制系統(tǒng)重新啟動(dòng)進(jìn)入安全模式之前更改用戶(hù)密碼，以防止用戶(hù)從系統(tǒng)進(jìn)入。然后，它更改Windows進(jìn)入登錄屏幕之前顯示的通知文本。

現(xiàn)在，新的通知文本就變成了DoppelPaymer的贖金記錄，警告用戶(hù)不要重設(shè)或關(guān)閉系統(tǒng)，也不要?jiǎng)h除、重命名或移動(dòng)加密的文件。該說(shuō)明還威脅稱(chēng)，如果他們不支付要求他們支付的贖金，他們的敏感數(shù)據(jù)就將被公開(kāi)。

攻擊目標(biāo)

根據(jù)聯(lián)邦調(diào)查局的調(diào)查，DoppelPaymer的主要目標(biāo)是醫(yī)療保健、緊急服務(wù)和教育機(jī)構(gòu)。2020年，該勒索軟件已經(jīng)參與了多起襲擊，其中包括今年年中對(duì)美國(guó)一所社區(qū)大學(xué)以及一座城市的警察和應(yīng)急服務(wù)的攻擊。

DoppelPaymer在2020年9月特別活躍，該勒索軟件的目標(biāo)是一家德國(guó)醫(yī)院，導(dǎo)致通訊中斷和一般業(yè)務(wù)中斷。同月，它還將目光投向了縣的E911中心以及另一所社區(qū)大學(xué)。

緩解措施

組織可以通過(guò)確保安全最佳實(shí)踐來(lái)保護(hù)自己免受諸如DoppelPaymer之類(lèi)的勒索軟件的攻擊：

1.不要打開(kāi)未經(jīng)驗(yàn)證的電子郵件，不要點(diǎn)擊這些郵件中嵌入的鏈接或附件；

2.定期備份重要文件：用兩種不同的文件格式創(chuàng)建三個(gè)備份副本，其中一個(gè)備份放在單獨(dú)的物理位置；

3.盡快用最新的補(bǔ)丁程序更新軟件和應(yīng)用程序，使它們免受漏洞攻擊；

4.在每次備份會(huì)話結(jié)束時(shí)，確保備份安全并與網(wǎng)絡(luò)斷開(kāi)連接；

5.定期審核用戶(hù)帳戶(hù)，尤其是那些可公開(kāi)訪問(wèn)的帳戶(hù)，例如遠(yuǎn)程監(jiān)控和管理帳戶(hù)；

6.監(jiān)控入站和出站網(wǎng)絡(luò)流量，并提供數(shù)據(jù)泄漏警報(bào)；

7.為用戶(hù)登錄憑據(jù)實(shí)施兩因素身份驗(yàn)證（2FA），因?yàn)檫@可以幫助增強(qiáng)用戶(hù)帳戶(hù)的安全性；

8.實(shí)現(xiàn)文件、目錄和網(wǎng)絡(luò)共享權(quán)限的最小權(quán)限原則。

IOC

本文翻譯自：https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html