DoppelPaymer は、リンクまたはダウンロード ファイルを介してエンドポイントに侵入し、コンピューター上の重要なファイルを暗号化し、ネットワーク内の他のエンドポイントに拡散する悪意のあるソフトウェアの一種です。次に、攻撃者は暗号化されたコンピューターにメッセージを送信し、ファイルを復元するために、身代金の支払い方法 (通常は暗号通貨のビットコイン) を指示します。 DopplePaymer の場合、ファイルの復号化に対する身代金の要求は、25,000 米ドルから 120 万米ドルの範囲です。
さらに、2020 年 2 月には、DoppelPaymer の背後にいる悪意のあるアクターがデータ漏洩サイトを立ち上げ、ランサムウェアの恐喝スキームの一環として、盗んだファイルをサイトに公開して被害者を脅迫しました。 DoppelPaymer ランサムウェアは、現在最も活発な脅威の 1 つであり、企業はそのリスクを認識し、明確なインシデント対応計画を策定して攻撃に備える必要があります。
DoppelPaymer の主なターゲットは、医療、緊急サービス、および教育業界の組織です。このランサムウェアは、2020 年から 2021 年にかけて、米国のコミュニティ カレッジ、警察、救急サービス、ドイツの病院、起亜自動車などを標的とした、注目を集めた攻撃に数多く関与していました。
DopplePaymer と BitPaymer の間のリンク
DoppelPaymer ランサムウェアは、2019 年 4 月に最初に発見されました。これは、2017 年に初めて出現した BitPaymer ランサムウェアに基づいていると考えられています。それ以来、2 つのランサムウェアの亜種間のリンクが、コードの類似性から確立されました。支払いポータル。
ただし、DoppelPaymer と BitPaymer には 3 つの重要な違いがあります。たとえば、DoppelPaymer は暗号化に 2048 ビット RSA + 256 ビット AES を使用しますが、BitPaymer は 4096 ビット RSA + 256 ビット AES を使用し、古いバージョンでは 1024 ビット RSA + 128 ビット RC4 を使用します。 DoppelPaymer はまた、スレッド化されたファイル暗号化を使用することで、BitPaymer の暗号化速度を向上させます。これにより、エンドポイント全体を数秒で暗号化できます。
2 つのウイルスの 3 つ目の重要な違いは、DoppelPaymer がその悪意のあるルーチンを実行するために、特定のコマンドライン パラメータを必要とすることです。この手法は、攻撃者がサンドボックス分析による検出を回避するため、およびセキュリティ研究者がサンプルを調査するのを防ぐために使用される可能性があります。
ドッペルペイマーの背後にいるのは誰ですか?
DoppelPaymer は、Indrik Spider として知られる脅威グループに起因するとされています。しかし、インドリク・スパイダーとは誰ですか?
Indrik Spider は、GameOver Zeus 犯罪ネットワークの元関連会社によって 2014 年に設立されました。このグループはすぐに、Dridex として知られる独自のカスタム マルウェアを開発しました。 Dridex の初期のバージョンは原始的でしたが、時間が経つにつれて、マルウェアはますます専門的で洗練されたものになりました。 2015 年から 2016 年にかけて、Dridex は最も蔓延したマルウェア ファミリの 1 つであり、主に通信詐欺に使用されていました。グループのメンバーの逮捕により、Indrik Spider の作戦は後退しました。
2017 年、このグループは別のアクターのように見せようとして、Grief Group として再ブランド化されたサイバー犯罪の世界に再び登場しました。 Grief Group は小規模な Dridex 配布キャンペーンを実施し、DoppelPaymer の前身である BitPaymer ランサムウェアを導入し、被害組織内のアクセスを利用して高額の身代金の支払いを要求することに重点を置きました。 2019 年、DoppelPaymer は BitPaymer の非常に危険な進化形として登場し、世界中の組織を標的にしました。有名なケースは、2021 年 2 月の起亜自動車への攻撃で、身代金要求は 2,000 万ドルに達しました。
DoppelPaymer はどのように機能しますか?
DoppelPaymer は、かなり洗練されたルーチンを使用して、ターゲット ネットワークにアクセスし、その活動を実行します。典型的な攻撃は、スピア フィッシングのリンクや添付ファイルを含む悪意のあるスパム メールによるネットワークへの侵入から始まります。このような電子メールは、疑いを持たないユーザーをおびき寄せて、通常は本物に見えるドキュメントに偽装した悪意のあるコードを実行するように特に設計されています。
その後、このコードは Emotet トロイの木馬を被害者のシステムにダウンロードします。このトロイの木馬は、一般的なウイルス対策プログラムからの検出を回避することに特化しています。また、Emotet はコマンド アンド コントロール (C&C) サーバーと通信して、さまざまな DoppelPaymer モジュールをインストールしたり、PowerShell Empire、Cobalt Strike、Mimikatx、PSExec などの他のツールをダウンロードして実行したりします。これらの各ツールは、資格情報の盗用、ネットワーク内での横移動、セキュリティ ソフトウェアを無効にするコマンドの実行など、特定のアクティビティに使用されます。
悪意のあるアクターは、最初のアクセス時にすぐにランサムウェアを展開しません。代わりに、重要な情報を盗むための価値の高いターゲットを探して、Dridex を介して影響を受けるシステムのネットワーク内を横方向に移動しようとします。そのようなターゲットが見つかると、Dridex は最終的なペイロードである DoppelPaymer を実行します。 DoppelPaymer は、ネットワーク内にあるファイルと、影響を受けるシステム内の固定ドライブおよびリムーバブル ドライブを暗号化します。
最後のステップとして、DoppelPaymer はユーザーのパスワードを変更し、システムを強制的に再起動してセーフ モードにし、ユーザーが入力できないようにします。ユーザーが感染したマシンを起動しようとすると、DoppelPaymer の身代金メモが画面に表示されます。このメモでは、システムをリセットまたはシャットダウンしたり、暗号化されたファイルを削除、名前変更、または移動したりしないようにユーザーに警告しています。このメモには、要求された身代金を支払わない場合、機密データが一般に公開されるという脅威も含まれています。
な
ドッペルペイマー攻撃を防ぐには?
このチェックリストを使用して、DoppelPaymer ランサムウェア攻撃を防止し、侵害に備えて、その影響に回復力を持たせます。
侵害前の準備
- EDR サービスを使用する
- インシデント対応計画とチームを準備する
- サイバー保険を購入する
積極的な侵害への対応
- コンピューティング デバイスの切断またはシャットダウン
- 信頼できる IR チームに連絡する
- すべての重要な出来事と行動を文書化する
侵害後の管理
- EDR サービスの導入
- 定期的なパッチとアップデート
- 効果的なバックアップが存在することを確認する
- セキュリティ構成の強化
- 将来の侵害に備えて計画とチームを用意する
- 従業員向けの継続的なサイバー意識トレーニング
- 将来のサイバー損失に対する保険
な
DoppelPaymer ランサムウェア株は、比較的新しいリスクの高いサイバー脅威です。進化した BitPaymer であるため、エンドポイントに侵入してから数分でネットワーク全体を暗号化できます。 APAC 地域の組織は、多額の身代金の要求と広範な標的に警戒する必要があります。
ランサムウェア攻撃に備える最善の方法は、明確なインシデント対応計画を用意することです。ランサムウェアの被害に遭うと、ストレスがたまり、感情的になる可能性があります。Blackpanda などの経験豊富なインシデント対応 (IR) 企業は、攻撃の封じ込め、マルウェアの根絶、および通常どおりのビジネスの回復において非常に貴重な支援を提供します。全体を通して安全性と合法性を確保します。