DoppelPaymer勒索软件的最新攻击趋势总结
2020年12月初,FBI发布了关于DoppelPaymer的警告,这是一个新出现的勒索软件家族,于2019年首次被发现,当时它对关键行业的企业发起了攻击。该公司的活动在整个2020年持续进行,包括今年下半年发生的一系列事件,导致受害者难以正常开展业务。
DoppelPaymer是什么?
DoppelPaymer被认为是基于BitPaymer勒索软件(首次出现于2017年)开发的,因为他们的代码、赎金通知和支付门户都很相似。然而,需要注意的是,DoppelPaymer和BitPaymer之间有一些区别。例如,DoppelPaymer使用2048-bitRSA+ 256-bit AES进行加密,而BitPaymer使用4096-bit RSA + 256-bit AES(旧版本使用1024-bit RSA+128-bit RC4)。此外,DoppelPaymer通过使用线程文件加密提高了BitPaymer的加密速率。
两者之间的另一个区别是,在DoppelPaymer执行它的恶意例程之前,它需要有正确的命令行参数。根据我们所遇到的样本的经验,不同的样本具有不同的参数。这种技术可能被攻击者用来通过沙盒分析来避免被检测到,以及防止安全研究人员研究样本。
也许DoppelPaymer最独特的方面是它使用了一个叫做ProcessHacker的工具,它使用这个工具来终止服务和进程,以防止在加密期间访问冲突。
与流行的许多勒索软件家族一样,DoppelPaymer要求解密文件的赎金数额相当大,从25000美元到120万美元不等。此外,从2020年2月开始,DoppelPaymer背后的攻击者启动了一个数据泄漏网站。然后,他们威胁受害者支付赎金,否则就在网站上公布他们盗窃的文件,这是勒索软件勒索计划的一部分。
DoppelPaymer的攻击流程
DoppelPaymer的攻击流程
DoppelPaymer使用一个相当复杂的例程,首先通过恶意垃圾邮件进行网络渗透,这些垃圾邮件包含鱼叉式网络钓鱼链接或附件,目的是引诱毫无戒心的用户执行恶意代码,这些代码通常伪装成真实的文档,此代码负责将其他具有更高级功能的恶意软件(例如Emotet)下载到受害者的系统中。
一旦Emotet被下载,它将与它的命令控制(C&C)服务器通信,以安装各种模块,以及下载和执行其他恶意软件。
对于DoppelPaymer活动,C&C服务器用于下载并执行Dridex恶意软件家族,而Dridex恶意软件家族又用于直接下载DoppelPaymer或诸如PowerShellEmpire,CobaltStrike,PsExec和Mimikatz之类的工具。这些工具中的每一个都用于各种活动,例如窃取凭据,在网络内部横向移动以及执行不同的命令(例如禁用安全软件)。
Dridex进入系统后,攻击者并不会立即部署勒索软件。相反,它试图在受影响系统的网络内横向移动,以找到一个高价值的目标,从其中窃取关键信息。一旦找到目标,Dridex将继续执行其最终有效负载DoppelPaymer,DoppelPaymer会对网络中发现的文件以及受影响系统中的固定驱动器和可移动驱动器进行加密。
最后,DoppelPaymer将在强制系统重新启动进入安全模式之前更改用户密码,以防止用户从系统进入。然后,它更改windows进入登录屏幕之前显示的通知文本。
现在,新的通知文本就变成了DoppelPaymer的赎金记录,警告用户不要重设或关闭系统,也不要删除、重命名或移动加密的文件。该说明还威胁称,如果他们不支付要求他们支付的赎金,他们的敏感数据就将被公开。
攻击目标
根据联邦调查局的调查,DoppelPaymer的主要目标是医疗保健、紧急服务和教育机构。2020年,该勒索软件已经参与了多起袭击,其中包括今年年中对美国一所社区大学以及一座城市的警察和应急服务的攻击。
DoppelPaymer在2020年9月特别活跃,该勒索软件的目标是一家德国医院,导致通讯中断和一般业务中断。同月,它还将目光投向了县的E911中心以及另一所社区大学。
缓解措施
组织可以通过确保安全最佳实践来保护自己免受诸如DoppelPaymer之类的勒索软件的攻击:
1.不要打开未经验证的电子邮件,不要点击这些邮件中嵌入的链接或附件;
2.定期备份重要文件:用两种不同的文件格式创建三个备份副本,其中一个备份放在单独的物理位置;
3.尽快用最新的补丁程序更新软件和应用程序,使它们免受漏洞攻击;
4.在每次备份会话结束时,确保备份安全并与网络断开连接;
5.定期审核用户帐户,尤其是那些可公开访问的帐户,例如远程监控和管理帐户;
6.监控入站和出站网络流量,并提供数据泄漏警报;
7.为用户登录凭据实施两因素身份验证(2FA),因为这可以帮助增强用户帐户的安全性;
8.实现文件、目录和网络共享权限的最小权限原则。
IOC
本文翻译自:https://www.trendmicro.com/en_us/research/21/a/an-overview-of-the-doppelpaymer-ransomware.html如若转载,请注明原文地址。
推荐系统
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统 Windows10 x64 企业TLSB版2022年7月一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
相关文章
- 勒索软件团伙利用 7-zip 在 5 天内赚取 26 万美元
- FireEye出资1.86亿美元收购Respond Software
- McAfee以40亿美金卖掉企业级网络安全业务
- 一旦所有个人隐私都泄漏公开将发生什么?
- 在冠状病毒疫情蔓延下 企业如何应对安全威胁
- 2020年第三季度APT攻击趋势分析(下)
- 安全观点:如何更有效地执行大规模安全扫描
- 智能网络升级在疫情来临之前需要考虑的事项
- 在全球范围内成功劫持28000台打印机,只为打印一份“安全指南”?
- ESET披露自从2011年开始活跃的新APT组织XDSpy
- 专栏
- 保护云中敏感数据的3种优秀实践
- 全年观测:增长的利润意味着更多的勒索软件攻击
- 安盛保险公司遭遇Avaddon勒索软件攻击
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 3微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 4二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 5高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
- 6win7蓝屏代码7f指什 怎么解决 很严重
- 7aoc一体机电脑win10改win7系统及bios设置
- 8Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 9安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 10华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
常用系统
- 1雨林木风Ghost Win8.1 (X32) 快速纯净版2019年12月(免激活) ISO镜像快速下载
- 2深度技术 Windows 10 x86 企业版 元旦特别 电脑城装机版2020年1月(32位) ISO镜像免费下载
- 3深度技术 Ghost Win7 Sp1 电脑城万能装机版2018年7月(32位) ISO镜像免费下载
- 4电脑公司工程师装机专用系统 Windows10 x86企业版2018年7月(32位) ISO镜像免费下载
- 5笔记本&台式机专用系统 GhostWin7 32位旗舰版2019年11月(32位) ISO镜像免费下载
- 6深度技术 GHOSTXPSP3 电脑城万能装机版 2018年4月 最新版ISO镜像下载
- 7笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年5月(32位) ISO镜像快速下载
- 8深度技术Ghost Win8.1 x32位 特别纯净版2021年12月(免激活) ISO镜像高速下载
- 9雨林木风Ghost Win8.1 (X64) 极速纯净版2020年8月免激活) ISO镜像高速下载
- 10深度技术Ghost Win8.1 x32位 特别纯净版2019年12月(免激活) ISO镜像高速下载