[[385152]]

2020年12月初，FBI發布了關于DoppelPaymer的警告，這是一個新出現的勒索軟件家族，于2019年首次被發現，當時它對關鍵行業的企業發起了攻擊。該公司的活動在整個2020年持續進行，包括今年下半年發生的一系列事件，導致受害者難以正常開展業務。

DoppelPaymer是什么?

DoppelPaymer被認為是基于BitPaymer勒索軟件(首次出現于2017年)開發的，因為他們的代碼、贖金通知和支付門戶都很相似。然而，需要注意的是，DoppelPaymer和BitPaymer之間有一些區別。例如，DoppelPaymer使用2048-bit RSA + 256-bit AES進行加密，而BitPaymer使用4096-bit RSA + 256-bit AES(舊版本使用1024-bit RSA + 128-bit RC4)。此外，DoppelPaymer通過使用線程文件加密提高了BitPaymer的加密速率。

兩者之間的另一個區別是，在DoppelPaymer執行它的惡意例程之前，它需要有正確的命令行參數。根據我們所遇到的樣本的經驗，不同的樣本具有不同的參數。這種技術可能被攻擊者用來通過沙盒分析來避免被檢測到，以及防止安全研究人員研究樣本。

也許DoppelPaymer最獨特的方面是它使用了一個叫做ProcessHacker的工具，它使用這個工具來終止服務和進程，以防止在加密期間訪問沖突。

與流行的許多勒索軟件家族一樣，DoppelPaymer要求解密文件的贖金數額相當大，從25000美元到120萬美元不等。此外，從2020年2月開始，DoppelPaymer背后的攻擊者啟動了一個數據泄漏網站。然后，他們威脅受害者支付贖金，否則就在網站上公布他們盜竊的文件，這是勒索軟件勒索計劃的一部分。

DoppelPaymer的攻擊流程

DoppelPaymer的攻擊流程

DoppelPaymer使用一個相當復雜的例程，首先通過惡意垃圾郵件進行網絡滲透，這些垃圾郵件包含魚叉式網絡釣魚鏈接或附件，目的是引誘毫無戒心的用戶執行惡意代碼，這些代碼通常偽裝成真實的文檔，此代碼負責將其他具有更高級功能的惡意軟件(例如Emotet)下載到受害者的系統中。

一旦Emotet被下載，它將與它的命令控制(C&C)服務器通信，以安裝各種模塊，以及下載和執行其他惡意軟件。

對于DoppelPaymer活動，C&C服務器用于下載并執行Dridex惡意軟件家族，而Dridex惡意軟件家族又用于直接下載DoppelPaymer或諸如PowerShell Empire，Cobalt Strike，PsExec和Mimikatz之類的工具。這些工具中的每一個都用于各種活動，例如竊取憑據，在網絡內部橫向移動以及執行不同的命令(例如禁用安全軟件)。

Dridex進入系統后，攻擊者并不會立即部署勒索軟件。相反，它試圖在受影響系統的網絡內橫向移動，以找到一個高價值的目標，從其中竊取關鍵信息。一旦找到目標，Dridex將繼續執行其最終有效負載DoppelPaymer，DoppelPaymer會對網絡中發現的文件以及受影響系統中的固定驅動器和可移動驅動器進行加密。

最后，DoppelPaymer將在強制系統重新啟動進入安全模式之前更改用戶密碼，以防止用戶從系統進入。然后，它更改Windows進入登錄屏幕之前顯示的通知文本。

現在，新的通知文本就變成了DoppelPaymer的贖金記錄，警告用戶不要重設或關閉系統，也不要刪除、重命名或移動加密的文件。該說明還威脅稱，如果他們不支付要求他們支付的贖金，他們的敏感數據就將被公開。

攻擊目標

根據聯邦調查局的調查，DoppelPaymer的主要目標是醫療保健、緊急服務和教育機構。2020年，該勒索軟件已經參與了多起襲擊，其中包括今年年中對美國一所社區大學以及一座城市的警察和應急服務的攻擊。

DoppelPaymer在2020年9月特別活躍，該勒索軟件的目標是一家德國醫院，導致通訊中斷和一般業務中斷。同月，它還將目光投向了縣的E911中心以及另一所社區大學。

緩解措施

組織可以通過確保安全最佳實踐來保護自己免受諸如DoppelPaymer之類的勒索軟件的攻擊：

1.不要打開未經驗證的電子郵件，不要點擊這些郵件中嵌入的鏈接或附件;

2.定期備份重要文件：用兩種不同的文件格式創建三個備份副本，其中一個備份放在單獨的物理位置;

3.盡快用最新的補丁程序更新軟件和應用程序，使它們免受漏洞攻擊;

4.在每次備份會話結束時，確保備份安全并與網絡斷開連接;

5.定期審核用戶帳戶，尤其是那些可公開訪問的帳戶，例如遠程監控和管理帳戶;

6.監控入站和出站網絡流量，并提供數據泄漏警報;

7.為用戶登錄憑據實施兩因素身份驗證(2FA)，因為這可以幫助增強用戶帳戶的安全性;

8.實現文件、目錄和網絡共享權限的最小權限原則。

IOC

本文翻譯自：https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如若轉載，請注明原文地址。