🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي
اقرأ المزيد
استشارة
ذكاء البرامج الضارةالاسم
دوبل بايمرالنوع
رانسوم ويرنظام التشغيل المستهدف
شبابيكالقطاعات المتأثرة
الرعاية الصحية وخدمات الطوارئ والقطاعات المالية والمنظمات التعليمية.أحدث ضحية لهجوم DoppelPaymer رانسوم وير هو مختبر Apex في فارمنجديل، نيويورك، والذي وقع في 31 ديسمبر 2020. وبحسب ما ورد يتم تشغيل DoppelPaymer من قبل مجموعة التهديدات ذات الدوافع المالية TA505، والتي تنشر حصان طروادة Dridex المصرفي كأداة تنزيل لـ DoppelPaymer. كما دخل مشغلو DoppelPaymer في شراكة مع عصابة Qakbot للبرامج الضارة، حيث يكون الباب الخلفي لـ Qakbot مسؤولاً عن الوصول الأولي، وتصاعد الامتيازات، والحركة الجانبية، تليها عصابة DoppelPaymer في السيطرة، ونشر برامج الفدية.تتضمن طرق توزيع برامج الفدية DoppelPaymer ما يلي:- RDP
- رسائل البريد الإلكتروني المخادعة
- يستغل
- شبكات الروبوت
التنفيذ
- يقوم DoppelPaymer بتعداد المستخدمين في النظام وتغيير بيانات اعتمادهم.
- إنها تثبت الثبات من خلال نسخ الخدمات الشرعية واستبدالها بنفسها.
- يقوم بتعديل قاعدة بيانات تكوين التمهيد، مما يسمح لها بتعطيل إصلاح بدء التشغيل والتنفيذ أثناء التشغيل الآمن.
- يقوم برنامج الفدية بتعديل سياسة المجموعة لعرض مذكرة الفدية قبل تسجيل الدخول/توجيه الضحية إلى موقع عصابة برامج الفدية لعقد صفقة مع ممثل التهديد.
- بعد كل هذه الخطوات، يقوم برنامج الفدية بتشفير الملفات وتوجيه الضحية إلى موقع الويب الخاص بالفاعل المهدد.
التكتيكات والتقنيات والإجراءات
التكتيكات
تقنيات
إصرار
T1197وظائف بيتسT1547بدء التشغيل أو تنفيذ التشغيل التلقائي لتسجيل الدخولتصعيد الامتيازات
T1547 بدء التشغيل أو تنفيذ التشغيل التلقائي لتسجيل الدخولT1484تعديل سياسة المجموعةالتهرب الدفاعي
T1197وظائف بيتسT1484تعديل سياسة المجموعةT1036.004مهمة أو خدمة حفلة تنكريةالوصول إلى بيانات الاعتماد
T1003تفريغ بيانات اعتماد نظام التشغيلاكتشاف
T1087اكتشاف الحسابالتأثير
T1486البيانات المشفرة للتأثيرT1489إيقاف الخدمةT1529إيقاف تشغيل النظام/إعادة التشغيلمؤشرات التسوية
بروتوكول IPv4
198.50.179.175192.99.28.17288.220.65.4191.83.93.104فايلهاش - MD5
دي 00e614e9afb8c41133b9e3e7c2b1798 × 8 × 84 × 740 × 31988 سم × 5 × 8 × 8 × 8 × 050116837f525421039 fe452b1fcbf5c9df7aa0ef5c94779 cd7861b5e872cd5e922311ملف هاش- SHA1
278878140 بي سي دي 82632 ec23b466e7b9e046af62c11a0a1ad8866a0d3be1fb4ad9c2e17e25ab5930370211a3f90376 بي بي سي 61f49c22a63075d1d4d53f0aefa976216 c46e6ba39a9f40f97f6d53ff47914174 bc3a05fb016e2c02ed0b43c827e5e5e5e5aa2d244 إلخ801 b04a1504f167c25f6f8d7cbac 13bde6440a609ddddd64ebe225c197f9bd4a0fe56316 2c45b9ba9ac1005363309a3edc7ac9e4dd64d326a0ff273e80fbd2c2cf0631 d881 ed382817 acce2b093f4e412ffb170a719e2762 f250 abfe4813d8020f32fe01b66bea0ce63834aedf2e725801b4b761 f5ea90ac4 الوجه 3a60ab87df9a779249e9f12484f94f63fa4b4b4c646072cf4b002492 f59b1ee0103f658 ddcf8e87 de957a81 bb92d44ce02913b427e8bccbe669e2613d35555567a0d7e6792 dfaf6273bba821c2d 11269a48fc3308e1a1ad2f4abd 297405faالتأثير
التأثير الفني:
- ملفات الضحايا المشفرة
- منع المستخدمين من الوصول إلى الجهاز المصاب
- تسرب البيانات
تأثير الأعمال:
- خرق الخصوصية
- الابتزاز الإلكتروني والفدية
- فقدان السمعة
- فقدان البيانات
التخفيف
- استخدم كلمات مرور قوية، وقم بتغيير بيانات الاعتماد الافتراضية لأي برنامج مستخدم
- ابق على اطلاع بأحدث التصحيحات
- استخدم أساليب المصادقة متعددة العوامل لتسجيل دخول المستخدم
- قم بعمل نسخة احتياطية من الملفات بانتظام
- تجنب تنزيل أي مرفقات بريد إلكتروني مشبوهة وفتحها
- تجنب النقر على عناوين URL المشبوهة.
