Detección de Ransomware DoppelPaymer
Tabla de contenidos:
El ransomware DoppelPaymer está ganando impulso como una amenaza líder para los activos de infraestructura crítica. Según la advertencia del FBI emitida en diciembre de 2020, DoppelPaymer ha atacado a múltiples organizaciones en sectores de salud, educación, gubernamental y otros. La rutina de ataque es altamente sofisticada y agresiva, permitiendo a sus operadores extorsionar rescates de seis y siete dígitos de sus víctimas. Notablemente, los actores de amenaza exfiltran datos antes de la encriptación para aumentar las ganancias con esquemas de extorsión suplementarios.
Descripción General del Ransomware DoppelPaymer
DoppelPaymer surgió en junio de 2019 como parte del conjunto de herramientas maliciosas de TA505 (EvilCorp). Desde entonces, el ransomware ha comprometido una amplia lista de objetivos de alto perfil, incluyendo la compañía petrolera estatal en México, el Ministerio de Agricultura en Chile, el Laboratorio Apex de Farmingdale en EE.UU., y el prominente servicio de emergencia en Alemania. La tasa de extorsión promedio varía de aproximadamente $25,000 a más de $1,200,000. Y el beneficio final podría ser aún mayor ya que DoppelPaymer no solo podría encriptar datos sino también exfiltrarlos de la red objetivo. La información sensible robada es utilizada posteriormente por los actores de TA505 para extorsión. En 2020, los operadores del malware introdujeron un sitio web dedicado a fugas de datos para probar la gravedad de sus amenazas. Cabe destacar que los actores usan llamadas telefónicas para presionar a las víctimas a realizar el pago. Este enfoque hace que TA505 sea uno de los primeros grupos que operan de manera tan intrusiva.
Entonces, ¿qué es el ransomware DoppelPaymer? Según el análisis, DoppelPaymer es un sucesor mejorado del malware BitPaymer. Ambas cepas tienen mucho en común, sin embargo, DoppelPaymer utiliza un esquema de encriptación diferente (RSA de 2048 bits + AES de 256 bits) y añade un enfoque de encriptación de archivos en hilos. Además, el malware aplica mejores tácticas de evasión, requiriendo un parámetro de línea de comandos correcto para cada muestra. Finalmente, DoppelPaymer está armado con la técnica ProcessHacker efectiva para la terminación de servicios y procesos.
Rutina de Ataque del Ransomware
Según la descripcióndel ransomware DoppelPaymer, aplica un esquema de infección de múltiples etapas así como una rutina de operación altamente sofisticada. Particularmente, el ataque comienza con un documento malicioso distribuido a través de spear-phishing o spam. En caso de que la víctima sea inducida a abrir el adjunto o seguir el enlace, se ejecuta el código malicioso en la máquina del usuario para descargar otros componentes usados para comprometer la red.
El primero de estos componentes es una infame cepa de Emotet que actúa como cargador para Dridex. Dridex luego ya sea descarga la carga útil de DoppelPaymer o descarga contenido malicioso adicional como Mimikatz, PsExec, PowerShell Empire y Cobalt Strike. Este software malicioso sirve para varios propósitos, incluyendo volcado de credenciales, movimiento lateral y ejecución de código dentro de la red objetivo.
Notablemente, Dridex generalmente pospone la infección de DoppelPaymer mientras los actores de amenaza se mueven a través del entorno para buscar datos sensibles. Una vez que tienen éxito, el ransomware comienza a actuar, encriptando los archivos de las víctimas dentro de la red y en las unidades fijas y removibles afiliadas. Finalmente, DoppelPaymer cambia las contraseñas de usuario, lanza el sistema en modo seguro y muestra una nota de rescate en las pantallas de los usuarios.
Además de Emotet y Dridex, los desarrolladores de DoppelPaymer se asocian con operadores de Quakbot para expandir las perspectivas maliciosas. Los actores de amenaza usan el malware Quakbot de manera similar a Dridex: para penetración de red, escalada de privilegios y movimiento lateral a través de entornos.
Contenido de Detección de DoppelPaymer
Para detectar la infección del ransomware DoppelPaymer y prevenir las devastadoras consecuencias, podría descargar una nueva regla Sigma de Osman Demir, un desarrollador de Threat Bounty y contribuyente activo a la biblioteca del Marketplace de Detección de Amenazas:
https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/
La regla tiene traducciones a las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
MITRE ATT&CK:
Tácticas: Impacto, Evasión de Defensa
Técnicas: Datos Encriptados por Impacto (T1486), Modificación de Permisos de Archivo y Directorio (T1222)
Regístrate gratis en el Mercado de Detección de Amenazas y encuentra el contenido SOC más relevante para la detección proactiva de ataques. ¿Entusiasta de crear tus propias reglas Sigma? Te invitamos a unirte a nuestro programa Threat Bounty y contribuir a las iniciativas decaza de amenazas.
