Threat

Pada awal Desember 2020, FBI mengeluarkan peringatan terkait DoppelPaymer, keluarga ransomware yang pertama kali muncul pada 2019 ketika meluncurkan serangan terhadap organisasi di industri kritis. Aktivitasnya terus berlanjut sepanjang tahun 2020, termasuk serangkaian insiden di paruh kedua tahun ini yang membuat para korbannya kesulitan untuk menjalankan operasi mereka dengan baik.

DoppelPaymer diyakini didasarkan pada ransomware BitPaymer (yang pertama kali muncul pada tahun 2017) karena kesamaan dalam kode, catatan tebusan, dan portal pembayaran mereka. Namun, penting untuk diperhatikan bahwa ada beberapa perbedaan antara DoppelPaymer dan BitPaymer. DoppelPaymer menggunakan 2048-bit RSA + 256-bit AES untuk enkripsi, sedangkan BitPaymer menggunakan 4096-bit RSA + 256-bit AES, Perbedaan lain antara keduanya adalah bahwa sebelum DoppelPaymer mengeksekusi rutinitas jahatnya, ia harus memiliki parameter baris perintah yang benar, teknik ini digunakan untuk menghindari analisis sandbox.

Seperti banyak keluarga ransomware modern, permintaan tebusan DoppelPaymer untuk dekripsi file sangat besar, berkisar antara US $ 25.000 hingga US $ 1,2 juta.

https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/a/an-overview-of-the-doppelpaymer-ransomware/DoppelPaymer-1.jpg

DoppelPaymer menggunakan rutinitas yang cukup canggih, dimulai dengan infiltrasi jaringan melalui email spam berbahaya yang berisi tautan spear-phishing atau lampiran yang dirancang untuk memikat pengguna yang tidak menaruh curiga agar menjalankan kode berbahaya yang biasanya disamarkan sebagai dokumen asli. Kode ini bertanggung jawab untuk mengunduh malware lain dengan kemampuan yang lebih canggih (seperti Emotet) ke dalam sistem korban.

Setelah Emotet diunduh, Emotet akan berkomunikasi dengan server command-and-control (C&C) untuk menginstal berbagai modul serta mengunduh dan menjalankan malware lainnya. server C&C digunakan untuk mengunduh dan menjalankan keluarga malware Dridex, yang kemudian digunakan untuk mengunduh DoppelPaymer secara langsung atau alat seperti PowerShell Empire, Cobalt Strike, PsExec, dan Mimikatz. Masing-masing alat ini digunakan untuk berbagai aktivitas, seperti mencuri kredensial, bergerak secara lateral di dalam jaringan, dan menjalankan perintah yang berbeda, seperti menonaktifkan perangkat lunak keamanan.

Setelah Dridex memasuki sistem, pelaku jahat tidak segera menyebarkan ransomware. Sebaliknya, ia mencoba untuk berpindah secara lateral dalam jaringan sistem yang terpengaruh untuk menemukan target bernilai tinggi untuk mencuri informasi penting. Setelah target ini ditemukan, Dridex akan melanjutkan menjalankan muatan terakhirnya, DoppelPaymer. DoppelPaymer mengenkripsi file yang ditemukan di jaringan serta drive tetap dan yang dapat dilepas di sistem yang terpengaruh. Terakhir, DoppelPaymer akan mengubah sandi pengguna sebelum memaksa sistem memulai ulang ke mode aman untuk mencegah masuknya pengguna dari sistem. Itu kemudian mengubah teks pemberitahuan yang muncul sebelum Windows melanjutkan ke layar login.

Teks pemberitahuan baru sekarang menjadi catatan tebusan DoppelPaymer, yang memperingatkan pengguna untuk tidak menyetel ulang atau mematikan sistem, serta tidak menghapus, mengganti nama, atau memindahkan file yang dienkripsi. Catatan itu juga berisi ancaman bahwa data sensitif mereka akan dibagikan kepada publik jika mereka tidak membayar tebusan yang diminta dari mereka.

Menurut pemberitahuan FBI, target utama DoppelPaymer adalah organisasi dalam perawatan kesehatan, layanan darurat, dan pendidikan. Ransomware telah terlibat dalam sejumlah serangan pada tahun 2020, termasuk gangguan pada community college serta polisi dan layanan darurat di sebuah kota di AS selama pertengahan tahun.

Agar terhindar dari malware ini, anda dapat melakukan beberapa upaya berikut :
Menahan diri dari membuka email yang tidak diverifikasi dan mengklik link atau lampiran yang disematkan di pesan ini.
Mencadangkan file penting secara teratur menggunakan aturan 3-2-1: Buat tiga salinan cadangan dalam dua format file berbeda, dengan salah satu cadangan di lokasi fisik terpisah.
Memperbarui perangkat lunak dan aplikasi dengan tambalan terbaru sesegera mungkin untuk melindunginya dari kerentanan.
Memastikan bahwa cadangan aman dan terputus dari jaringan pada akhir setiap sesi pencadangan.
Mengaudit akun pengguna secara berkala – khususnya akun yang dapat diakses publik, seperti akun Pemantauan dan Manajemen Jarak Jauh.
Memantau lalu lintas jaringan masuk dan keluar, dengan peringatan untuk eksfiltrasi data.
Menerapkan otentikasi dua faktor (2FA) untuk kredensial login pengguna, karena ini dapat membantu memperkuat keamanan untuk akun pengguna
Menerapkan prinsip hak istimewa paling rendah untuk izin file, direktori, dan jaringan berbagi.

Source : trendmicro