DoppelPaymerランサムウェアの検出

DoppelPaymerランサムウェアは重要インフラ資産に対する主要な脅威として勢いを増しています。この脅威については、 FBIの警告 （2020年12月発表）によると、DoppelPaymerは医療、教育、政府機関など複数の組織を標的にしています。攻撃の流れは非常に洗練されており、加害者は被害者から6桁から7桁の身代金を脅し取ることができます。注目すべきことに、脅威アクターは暗号化の前にデータを流出させ、補助的な恐喝によって利益を増やしています。

DoppelPaymerランサムウェアの概要

DoppelPaymerは、 TA505 （EvilCorp）の悪意あるツールセットの一部として2019年6月に出現しました。それ以来、このランサムウェアはメキシコの国営石油会社、チリの農業省、アメリカのファーミングデールにあるApex Laboratory、ドイツの著名な緊急サービスなど、多くの注目すべきターゲットを妥協させてきました。平均的な恐喝額は約$25,000から$1,200,000を超える範囲ですが、DoppelPaymerがデータを暗号化するだけでなく、ターゲットのネットワークからデータを流出させることができるため、最終的な利益はさらに大きくなる可能性があります。盗まれた機密情報は、TA505のアクターが恐喝のために使用しています。2020年には、マルウェアのオペレーターが彼らの脅威の深刻さを示すための専用のデータ漏洩ウェブサイトを導入しました。なお、アクターは支払いを促すために電話を使用するため、TA505はこのような侵入的な方法で運営されている初のグループの1つです。

では、DoppelPaymerランサムウェアとは何ですか？研究者の 分析によると、DoppelPaymerはBitPaymerマルウェアのアップグレードされた後継です。両者には多くの共通点がありますが、DoppelPaymerは異なる暗号化スキーム（2048ビットRSA + 256ビットAES）を使用し、スレッドファイル暗号化アプローチを追加しています。また、マルウェアはより優れた回避戦術を適用し、各サンプルに適切なコマンドラインパラメータを必要とします。最後に、DoppelPaymerはサービスおよびプロセスの終了に効果的なProcessHacker技術を備えています。

ランサムウェア攻撃の流れ

DoppelPaymerランサムウェアの 説明によると、多段階の感染スキームと非常に洗練された運営の流れを適用します。特に、攻撃はスピアフィッシングまたはスパムを介して配布される悪意のある文書から始まります。被害者が添付ファイルを開くか、リンクをたどるように誘導された場合、ユーザーのマシンで悪意のあるコードが実行され、ネットワークの妥協に使用される他のコンポーネントをダウンロードします。

これらのコンポーネントの最初のものは、Dridexのローダーとして機能する悪名高いEmotet株です。Dridexはその後、DoppelPaymerのペイロードをドロップするか、Mimikatz、PsExec、PowerShell Empire、Cobalt Strikeなどの追加の悪意のあるコンテンツをダウンロードします。この悪意のあるソフトは、資格情報のダンプ、ラテラルムーブメント、ターゲットネットワーク内でのコード実行など、さまざまな目的に使用されます。

驚くべきことに、Dridexは通常、DoppelPaymerの感染を延期し、脅威アクターがセンシティブデータを探すために環境全体を移動します。一度成功するとランサムウェアが起動し、ネットワーク内および関連する固定ドライブやリムーバブルドライブ上の被害者のファイルを暗号化します。最終的に、DoppelPaymerはユーザーパスワードを変更し、システムをセーフモードにし、使用者の画面に身代金のメッセージを表示します。

EmotetやDridexに加え、DoppelPaymerの開発者は、 Quakbotのオペレーターと提携 し、悪意のある視点を広げようとしています。脅威アクターはQuakbotマルウェアを、Dridexと同様に、ネットワークの侵入、特権の昇格、環境間の移動に使用します。

DoppelPaymer検出コンテンツ

DoppelPaymerランサムウェア感染を検出し、壊滅的な結果を防ぐために、次の場所から最新のSigmaルールをダウンロードできます。 Osman Demir、Threat Bountyの開発者であり、活発なThreat Detection Marketplaceライブラリ寄稿者：

https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/

このルールは以下のプラットフォームに翻訳されています。

SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.

MITRE ATT&CK:

戦術: 影響、ディフェンス回避

技術: 影響のためのデータ暗号化 (T1486)、ファイルおよびディレクトリ許可の変更 (T1222)

無料でサインアップ してThreat Detection Marketplaceにアクセスし、プロアクティブな攻撃検出のための最も関連性の高いSOCコンテンツを見つけてください。独自のSigmaルールを作成することに熱心ですか？ぜひ 私たちのThreat Bounty Programに参加 し、脅威ハンティングの取り組みに貢献してください。eat hunting initiatives.