Erkennung von DoppelPaymer-Ransomware
Inhaltsverzeichnis:
DoppelPaymer Ransomware gewinnt an Bedeutung als führende Bedrohung für kritische Infrastrukturen. Laut der FBI-Warnung vom Dezember 2020 hat DoppelPaymer mehrere Organisationen im Gesundheitswesen, Bildungssektor, im Regierungsbereich und in anderen Sektoren ins Visier genommen. Die Angriffsroutine ist hochkomplex und aggressiv, was den Betreibern ermöglicht, Lösegelder in sechs- und siebenstelliger Höhe von ihren Opfern zu erpressen. Bemerkenswerterweise exfiltrieren die Bedrohungsakteure Daten, bevor sie diese verschlüsseln, um ihre Gewinne durch zusätzliche Erpressungsschemata zu erhöhen.
Überblick über DoppelPaymer Ransomware
DoppelPaymer tauchte im Juni 2019 als Bestandteil des TA505 (EvilCorp) bösartigen Toolsets auf. Seitdem hat Ransomware eine breite Liste hochkarätiger Ziele kompromittiert, darunter das staatliche Ölunternehmen in Mexiko, das Landwirtschaftsministerium in Chile, das Apex Laboratory of Farmingdale in den USA und den prominenten Notfalldienst in Deutschland. Die durchschnittliche Erpressungssumme liegt zwischen etwa 25.000 US-Dollar und über 1.200.000 US-Dollar. Der endgültige Gewinn könnte noch höher sein, da DoppelPaymer nicht nur Daten verschlüsseln, sondern auch aus dem Zielnetzwerk exfiltrieren kann. Die gestohlenen sensiblen Informationen werden von TA505-Akteuren weiter zur Erpressung genutzt. Im Jahr 2020 führten die Malware-Operatoren eine spezielle Datenleak-Website ein, um die Schwere ihrer Drohungen zu untermauern. Es ist zu beachten, dass Akteure Telefonanrufe verwenden, um die Opfer zur Zahlung zu drängen. Dieser Ansatz macht TA505 zu einer der ersten Gruppen, die auf so aufdringliche Weise operieren.
Was ist also die DoppelPaymer-Ransomware? Laut der Analyseder Forscher ist DoppelPaymer ein upgrade-fähiger Nachfolger der BitPaymer-Malware. Beide Stränge haben viel gemeinsam, jedoch verwendet DoppelPaymer ein anderes Verschlüsselungsschema (2048-Bit RSA + 256-Bit AES) und fügt einen threaded file Verschlüsselungsansatz hinzu. Außerdem wendet die Malware bessere Ausweichtaktiken an, die erfordern, dass für jede Probe ein korrektes Befehlszeilenparameter vorliegt. Schließlich ist DoppelPaymer mit der ProcessHacker-Technik ausgestattet, die effektiv für den Dienst- und Prozessabbruch ist.
Ransomware-Angriffsablauf
Laut der Beschreibungvon DoppelPaymer-Ransomware verwendet es ein mehrstufiges Infektionsschema sowie eine hochkomplexe Operationsroutine. Insbesondere beginnt der Angriff mit einem bösartigen Dokument, das über Spear-Phishing oder Spam verteilt wird. Falls das Opfer gelockt wurde, den Anhang zu öffnen oder dem Link zu folgen, wird bösartiger Code auf dem Benutzergerät ausgeführt, um andere Komponenten herunterzuladen, die für den Netzwerkkompromiss verwendet werden.
Das erste dieser Komponenten ist ein berüchtigter Emotet-Strang, der als Loader für Dridex fungiert. Dridex lädt dann entweder die DoppelPaymer-Nutzlast ab oder lädt zusätzlichen bösartigen Inhalt herunter, wie Mimikatz, PsExec, PowerShell Empire und Cobalt Strike. Diese bösartige Software dient verschiedenen Zwecken, darunter das Auslesen von Anmeldeinformationen, laterale Bewegungen und die Codeausführung im Zielnetzwerk.
Bemerkenswerterweise verzögert Dridex normalerweise die DoppelPaymer-Infektion, während Bedrohungsakteure sich im Umfeld bewegen, um nach sensiblen Daten zu suchen. Sobald sie erfolgreich sind, beginnt die Ransomware zu agieren, indem sie die Dateien der Opfer im Netzwerk und auf den zugehörigen festen und Wechseldatenträgern verschlüsselt. Schließlich ändert DoppelPaymer Benutzerpasswörter, startet das System im abgesicherten Modus und zeigt eine Lösegeldforderung auf den Bildschirmen der Benutzer an.
Zusätzlich zu Emotet und Dridex arbeiten die Entwickler von DoppelPaymer mit Quakbot Operatoren zusammen, um die bösartigen Perspektiven zu erweitern. Bedrohungsakteure verwenden die Quakbot-Malware ähnlich wie Dridex: zur Netzwerkpenetration, Privilegieneskalation und lateralen Bewegung über Umgebungen hinweg.
DoppelPaymer-Erkennungsinhalt
Um eine Infektion mit der DoppelPaymer-Ransomware zu erkennen und die verheerenden Folgen zu verhindern, können Sie eine aktuelle Sigma-Regel von Osman Demir, einem Threat Bounty-Entwickler und aktiven Contributor der Threat Detection Marketplace-Bibliothek, herunterladen:
https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/
Die Regel hat Übersetzungen für folgende Plattformen:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
MITRE ATT&CK:
Taktiken: Impact, Defense Evasion
Techniken: Data Encrypted for Impact (T1486), File and Directory Permissions Modification (T1222)
Melden Sie sich kostenlos für den Threat Detection Marketplace an und finden Sie die relevantesten SOC-Inhalte für die proaktive Angriffserkennung. Sie sind begeistert davon, Ihre eigenen Sigma-Regeln zu erstellen? Seien Sie willkommen, dem Threat Bounty-Programm beizutreten und an derBedrohungsjagd-Initiative mitzuwirken.
