🚀 A CloudSEK se torna a primeira empresa de segurança cibernética de origem indiana a receber investimentos da Estado dos EUA fundo
Leia mais
Consultivo
Inteligência de malwareNome
DoppelPaymerTipo
RansomwareSistema operacional de destino
JanelaSetores afetados
Saúde, serviços de emergência, setores financeiros, organizações educacionais.A última vítima do ataque de ransomware DoppelPaymer é o Laboratório Apex de Farmingdale, Nova York, que ocorreu em 31 de dezembro de 2020. O DoppelPaymer é supostamente operado pelo grupo de ameaças com motivação financeira TA505, que implanta o trojan bancário Dridex como um downloader para o DoppelPaymer. Os operadores do DoppelPaymer também fizeram parceria com a gangue de malware Qakbot, na qual o backdoor do Qakbot é responsável pelo acesso inicial, aumento de privilégios e movimento lateral, seguido pelo qual a gangue do DoppelPaymer assume o controle, implantando o ransomware.Os métodos de distribuição do ransomware DoppelPaymer incluem:- RDP
- E-mails de phishing
- Explorações
- Botnets
Execução
- O DoppelPaymer enumera os usuários no sistema e altera suas credenciais.
- Ele estabelece persistência copiando serviços legítimos e substituindo-os por si mesmo.
- Ele modifica o banco de dados de configuração de inicialização, permitindo que ele desative o reparo de inicialização e seja executado durante a inicialização segura.
- O ransomware modifica a política do grupo para exibir a nota de resgate antes de fazer o login/direcionar a vítima ao site da gangue de ransomware para fazer um acordo com o agente da ameaça.
- Seguido por todas essas etapas, o ransomware criptografa os arquivos e direciona a vítima para o site do agente da ameaça.
Táticas, técnicas e procedimentos
Táticas
Técnicas
Persistência
T1197Empregos em BITST1547Execução de inicialização automática de inicialização ou loginEscalação de privilégios
T1547 Execução de inicialização automática de inicialização ou loginT1484Modificação da política de grupoEvasão de defesa
T1197Empregos em BITST1484Modificação da política de grupoT1036,004Tarefa ou serviço mascaradoAcesso à credencial
T1003Despejo de credenciais do sistema operacionalDescoberta
T1087Descoberta de contasImpacto
T1486Dados criptografados para causar impactoT1489Interrupção do serviçoT1529Desligamento/reinicialização do sistemaIndicadores de compromisso
IPv4
198,50.179,175192,99,28,17288,220.65,4191,83,93,104Hash-MD5 do arquivo
d00ee614e9afb8c41133b9e3e7c2b1798b8f84d740c31988cd5efe08d050116837f525421039fe452b1fccbf5c9df7aa0ef5c94779cd7861b5e872cd5e922311Arquivo HASH-SHA1
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
Impacto técnico:
- Arquivos criptografados da vítima
- Impeça que os usuários acessem o dispositivo infectado
- Vazamento de dados
Impacto nos negócios:
- Violação de privacidade
- Extorsão cibernética e resgate
- Perda de reputação
- Perda de dados
Mitigação
- Use senhas fortes e altere as credenciais padrão de qualquer software usado
- Mantenha-se atualizado com os patches mais recentes
- Use métodos de autenticação multifator para login de usuário
- Faça backup de arquivos regularmente
- Evite baixar e abrir anexos de e-mail suspeitos
- Evite clicar em URLs suspeitos.
