Rilevamento del Ransomware DoppelPaymer
Indice:
Il ransomware DoppelPaymer sta guadagnando slancio come una delle principali minacce per le risorse infrastrutturali critiche. Secondo l’ avvertimento dell’FBI pubblicato a dicembre 2020, DoppelPaymer ha preso di mira numerose organizzazioni nei settori sanitario, educativo, governativo e altri. La routine di attacco è altamente sofisticata e aggressiva, consentendo ai suoi operatori di estorcere riscatti di sei e sette cifre dalle loro vittime. In particolare, gli attori delle minacce esfiltrano i dati prima della crittografia per aumentare i profitti con schemi di estorsione supplementari.
Panoramica del Ransomware DoppelPaymer
DoppelPaymer è emerso a giugno 2019 come parte del toolset dannoso TA505 (EvilCorp). Da allora, il ransomware ha compromesso una vasta lista di obiettivi di alto profilo, incluso la compagnia petrolifera statale in Messico, il Ministero dell’Agricoltura in Cile, Apex Laboratory di Farmingdale negli Stati Uniti e il noto servizio di emergenza in Germania. Il tasso medio di estorsione varia da circa 25.000 dollari a oltre 1.200.000 dollari. E il profitto finale potrebbe essere ancora maggiore poiché DoppelPaymer non solo crittografa i dati ma anche li esfiltra dalla rete bersaglio. Le informazioni sensibili rubate vengono successivamente utilizzate dagli attori TA505 per l’estorsione. Nel 2020, gli operatori del malware hanno introdotto un sito web dedicato alla fuga di dati per dimostrare la gravità delle loro minacce. È importante notare che gli attori usano chiamate telefoniche per spingere le vittime a effettuare il pagamento. Questo approccio rende TA505 uno dei primi gruppi a operare in modo così intrusivo.
Allora, cos’è il ransomware DoppelPaymer? Secondo l’ analisi, DoppelPaymer è il successore aggiornato del malware BitPaymer. Entrambe le varianti hanno molto in comune, tuttavia, DoppelPaymer utilizza uno schema di crittografia diverso (RSA a 2048 bit + AES a 256 bit) e aggiunge un approccio di crittografia dei file a thread. Inoltre, il malware applica migliori tattiche di evasione, richiedendo un parametro di linea di comando corretto per ciascun campione. Infine, DoppelPaymer è armato con la tecnica ProcessHacker efficace per la terminazione di servizi e processi.
Routine di Attacco del Ransomware
Secondo la descrizionedel ransomware DoppelPaymer, esso applica uno schema di infezione a più fasi e una routine operativa altamente sofisticata. In particolare, l’attacco inizia con un documento dannoso distribuito tramite spear-phishing o spam. Nel caso in cui la vittima sia stata indotta ad aprire l’allegato o a seguire il link, il codice dannoso viene eseguito sulla macchina dell’utente per scaricare altri componenti utilizzati per compromettere la rete.
Il primissimo di questi componenti è una nota variante di Emotet che funge da loader per Dridex. Dridex poi rilascia il payload DoppelPaymer o scarica contenuti dannosi aggiuntivi come Mimikatz, PsExec, PowerShell Empire e Cobalt Strike. Questo software malevolo serve vari scopi, tra cui il dump delle credenziali, il movimento laterale e l’esecuzione di codice all’interno della rete bersaglio.
È notevole che Dridex di solito ritardi l’infezione DoppelPaymer mentre gli attori delle minacce si muovono attraverso l’ambiente per cercare dati sensibili. Una volta che riescono, il ransomware inizia a operare, crittografando i file delle vittime all’interno della rete e su dischi fissi e rimovibili affiliati. Infine, DoppelPaymer cambia le password degli utenti, avvia il sistema in modalità provvisoria e visualizza un avviso di riscatto sugli schermi degli utenti.
Oltre a Emotet e Dridex, gli sviluppatori di DoppelPaymer collaborano con gli operatori di Quakbot per espandere le prospettive dannose. Gli attori delle minacce utilizzano il malware Quakbot in modo simile a Dridex: per la penetrazione della rete, l’escalation dei privilegi e il movimento laterale tra gli ambienti.
Contenuto di Rilevamento di DoppelPaymer
Per rilevare l’infezione da ransomware DoppelPaymer e prevenire le devastanti conseguenze, è possibile scaricare una nuova regola Sigma da Osman Demir, uno sviluppatore del programma Threat Bounty e un attivo contributore della libreria Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
MITRE ATT&CK:
Tattiche: Impatto, Evasione Difensiva
Tecniche: Dati Crittografati per l’Impatto (T1486), Modifica delle Autorizzazioni di File e Directory (T1222)
Iscriviti gratuitamente al Threat Detection Marketplace e trova il contenuto SOC più rilevante per il rilevamento proattivo degli attacchi. Sei entusiasta di creare le tue regole Sigma? Sei il benvenuto a unirti al nostro Programma di Threat Bounty e contribuire alle iniziative diricerca delle minacce.
