Détection du Ransomware DoppelPaymer

Le rançongiciel DoppelPaymer gagne en popularité en tant que menace majeure pour les actifs d’infrastructure critique. Selon l’ avertissement du FBI publié en décembre 2020, DoppelPaymer a ciblé plusieurs organisations dans les secteurs de la santé, de l’éducation, gouvernementaux et autres. La routine d’attaque est très sophistiquée et agressive, permettant à ses opérateurs d’extorquer des rançons à six et sept chiffres de leurs victimes. Notamment, les acteurs de la menace exfiltrent des données avant le chiffrement pour augmenter les bénéfices avec des schémas d’extorsion supplémentaires.

Aperçu du rançongiciel DoppelPaymer

DoppelPaymer est apparu en juin 2019 dans le cadre de l’ outil malveillant TA505 (EvilCorp). Depuis lors, le rançongiciel a compromis une large liste de cibles de haut niveau, y compris la compagnie pétrolière d’État au Mexique, le ministère de l’Agriculture au Chili, Apex Laboratory de Farmingdale aux États-Unis, et le service d’urgence important en Allemagne. Le taux moyen d’extorsion varie de 25 000 $ à plus de 1 200 000 $. Et le profit final pourrait être encore plus grand puisque DoppelPaymer ne peut pas seulement chiffrer les données mais aussi les exfiltrer du réseau ciblé. Les informations sensibles volées sont ensuite utilisées par les acteurs TA505 pour l’extorsion. En 2020, les opérateurs de logiciels malveillants ont introduit un site Web de fuite de données dédié pour prouver la gravité de leurs menaces. Il est important de noter que les acteurs utilisent des appels téléphoniques pour pousser les victimes à effectuer le paiement. Cette approche fait de TA505 l’un des premiers groupes à opérer de manière aussi intrusive.

Alors, qu’est-ce que le rançongiciel DoppelPaymer ? Selon l’ analyse des chercheurs, DoppelPaymer est un successeur évolué du malware BitPaymer. Les deux souches ont beaucoup en commun, cependant, DoppelPaymer utilise un schéma de chiffrement différent (RSA 2048 bits + AES 256 bits) et ajoute une approche de chiffrement de fichiers par thread. En outre, le logiciel malveillant applique de meilleures tactiques d’évasion, nécessitant un paramètre de ligne de commande correct pour chaque échantillon. Enfin, DoppelPaymer est équipé de la technique ProcessHacker efficace pour la terminaison de services et de processus.

Routine d’attaque de rançongiciel

Selon la description du rançongiciel DoppelPaymer, il applique un schéma d’infection en plusieurs étapes ainsi qu’une routine d’opération très sophistiquée. En particulier, l’attaque commence par un document malveillant distribué via spear-phishing ou spam. Si la victime a été attirée pour ouvrir la pièce jointe ou suivre le lien, du code malveillant est exécuté sur le dispositif de l’utilisateur pour télécharger d’autres composants utilisés pour compromettre le réseau.

Le tout premier de ces composants est une souche d’Emotet célèbre agissant comme chargeur pour Dridex. Dridex dépose alors soit la charge utile de DoppelPaymer soit télécharge du contenu malveillant supplémentaire tel que Mimikatz, PsExec, PowerShell Empire, et Cobalt Strike. Ce logiciel malveillant sert à divers objectifs, y compris le vidage des identifiants, le déplacement latéral et l’exécution de code à l’intérieur du réseau ciblé.

Remarquablement, Dridex retarde généralement l’infection de DoppelPaymer tandis que les acteurs de menaces se déplacent dans l’environnement pour rechercher des données sensibles. Une fois qu’ils ont réussi, le rançongiciel commence à agir, chiffrant les fichiers des victimes à l’intérieur du réseau et sur les disques fixes et amovibles affiliés. Enfin, DoppelPaymer change les mots de passe utilisateur, lance le système en mode sans échec et affiche une note de rançon sur les écrans des utilisateurs.

En plus de Emotet et Dridex, les développeurs de DoppelPaymer s’associent à des opérateurs de Quakbot pour élargir les perspectives malveillantes. Les acteurs de menace utilisent le malware Quakbot de manière similaire à Dridex : pour la pénétration du réseau, l’escalade de privilèges, et le déplacement latéral à travers les environnements.

Contenu de détection de DoppelPaymer

Pour détecter l’infection par le rançongiciel DoppelPaymer et prévenir les conséquences dévastatrices, vous pourriez télécharger une nouvelle règle Sigma de Osman Demir, un développeur de Threat Bounty et contributeur actif à la bibliothèque Threat Detection Marketplace :

https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/

La règle a des traductions pour les plateformes suivantes :

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

MITRE ATT&CK:

Tactiques: Impact, Évasion de défense

Techniques: Données chiffrées pour impact (T1486), Modification des permissions de fichiers et de répertoires (T1222)

Inscrivez-vous gratuitement au Threat Detection Marketplace et trouvez le contenu SOC le plus pertinent pour la détection proactive des attaques. Enthousiaste à l’idée de créer vos propres règles Sigma ? N’hésitez pas à rejoindre notre programme Threat Bounty et contribuer aux initiatives de chasse aux menaces.