Detecção do Ransomware DoppelPaymer
Índice:
O ransomware DoppelPaymer está ganhando impulso como uma ameaça líder aos ativos de infraestrutura crítica. De acordo com o alerta do FBI lançado em dezembro de 2020, o DoppelPaymer tem como alvo várias organizações nos setores de saúde, educação, governamental e outros. A rotina de ataque é altamente sofisticada e agressiva, permitindo que seus operadores extorquem resgates de seis e sete dígitos de suas vítimas. Notavelmente, os atores da ameaça exfiltram dados antes da criptografia para aumentar os lucros com esquemas de extorsão suplementares.
Visão Geral do Ransomware DoppelPaymer
O DoppelPaymer surgiu em junho de 2019 como parte do conjunto de ferramentas maliciosas do TA505 (EvilCorp). Desde então, o ransomware comprometeu uma ampla lista de alvos de alto perfil, incluindo a empresa estatal de petróleo do México, o Ministério da Agricultura do Chile, o Laboratório Apex de Farmingdale nos EUA, e o proeminente serviço de emergência na Alemanha. A taxa média de extorsão varia de aproximadamente US$ 25.000 a mais de US$ 1.200.000. E o lucro final pode ser ainda maior, já que o DoppelPaymer pode não apenas criptografar dados, mas também exfiltrá-los da rede alvo. As informações sensíveis roubadas são utilizadas posteriormente pelos atores do TA505 para extorsão. Em 2020, os operadores de malware introduziram um site dedicado a vazamento de dados para comprovar a gravidade de suas ameaças. Vale destacar que os atores usam chamadas telefônicas para pressionar as vítimas a realizarem o pagamento. Essa abordagem faz do TA505 um dos primeiros grupos a operar de forma tão intrusiva.
Então, o que é o ransomware DoppelPaymer? De acordo com a análisedos pesquisadores, o DoppelPaymer é um sucessor aprimorado do malware BitPaymer. Ambas as variantes têm muito em comum, no entanto, o DoppelPaymer usa um esquema de criptografia diferente (RSA de 2048 bits + AES de 256 bits) e adiciona uma abordagem de criptografia de arquivos em threads. Além disso, o malware aplica melhores táticas de evasão, exigindo um parâmetro de linha de comando correto para cada amostra. Finalmente, o DoppelPaymer está equipado com a técnica ProcessHacker eficaz para a terminação de serviços e processos.
Rotina de Ataque do Ransomware
De acordo com a descriçãodo ransomware DoppelPaymer, ele aplica um esquema de infecção em vários estágios, bem como uma rotina de operação altamente sofisticada. Em particular, o ataque começa com um documento malicioso distribuído via spear-phishing ou spam. Caso a vítima seja induzida a abrir o anexo ou seguir o link, um código malicioso é executado na máquina do usuário para baixar outros componentes utilizados na violação da rede.
O primeiro desses componentes é uma notória variante do Emotet atuando como carregador para o Dridex. O Dridex então ou descarta a carga útil do DoppelPaymer ou baixa conteúdo malicioso adicional, como Mimikatz, PsExec, PowerShell Empire e Cobalt Strike. Esse software malicioso serve para vários propósitos, incluindo captura de credenciais, movimento lateral e execução de código dentro da rede alvo.
Notavelmente, o Dridex geralmente adia a infecção pelo DoppelPaymer enquanto os atores da ameaça se movem pelo ambiente em busca de dados sensíveis. Uma vez que eles conseguem, o ransomware começa a agir, criptografando os arquivos das vítimas dentro da rede e nas unidades fixas e removíveis afiliadas. Finalmente, o DoppelPaymer altera senhas de usuários, inicia o sistema em modo de segurança e exibe uma nota de resgate nas telas dos usuários.
Além do Emotet e Dridex, os desenvolvedores do DoppelPaymer parceirizam com operadores do Quakbot para expandir as perspectivas maliciosas. Os atores da ameaça usam o malware Quakbot de forma semelhante ao Dridex: para penetração em redes, escalonamento de privilégios e movimento lateral em ambientes.
Conteúdo de Detecção do DoppelPaymer
Para detectar uma infecção pelo ransomware DoppelPaymer e prevenir as consequências devastadoras, você pode baixar uma nova regra Sigma de Osman Demir, um desenvolvedor Threat Bounty e colaborador ativo da biblioteca Threat Detection Marketplace:
https://tdm.socprime.com/tdm/info/49hsC8xRKiaj/7sfZ9nYBTwmKwLA9U_OJ/
A regra possui traduções para as seguintes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio.
MITRE ATT&CK:
Táticas: Impacto, Evasão de Defesa
Técnicas: Dados Criptografados para Impacto (T1486), Modificação de Permissões de Arquivo e Diretório (T1222)
Inscreva-se gratuitamente no Threat Detection Marketplace e encontre o conteúdo SOC mais relevante para detecção proativa de ataques. Ansioso para criar suas próprias regras Sigma? Seja bem-vindo a juntar-se ao nosso Programa Threat Bounty e contribuir para as iniciativasde caça a ameaças.
