Uma visão panorâmica da gangue DoppelPaymer

Principais alvos

DoppelPaymer é um ransomware centrado em empresas conhecido por atingir organizações bem conhecidas em todo o mundo. Em março de 2020, um aumento em seus ataques foi observado enquanto se aproveitava da pandemia de coronavírus.

• Desde o início de 2020, o ransomware tem se espalhado por meio de vários vetores de infecção, como a exploração de servidores vulneráveis ​​(CVE-2019-19781 afetando Citrix ADC) e acesso não autorizado.
• Em fevereiro de 2020, as operadoras adotaram a tática de “envergonhar publicamente” ou “chantagear”, semelhante às operadoras Maze, para vazar publicamente dados de qualquer organização que negue ter pago o resgate.
• Até agora, eles vazaram dados do Royal Military College do Canadá , Avon , Siegel Egg Company Immobilière , Digital Management Inc. e outros.

Modus operandi

• Os operadores por trás desse ransomware primeiro obtêm acesso remoto às organizações pela penetração da rede. 
• Em seguida, eles assumem o controle dos ambientes do Active Directory para propagar seu malware ainda mais pela rede da organização. 
• Depois disso, ele começa a criptografar os dados confidenciais e o processo de exfiltração.

Associação recente

Alguns especialistas dizem que alguns membros do grupo ameaça “TA505” bifurcada em um novo grupo, e eles poderiam estar por trás DoppelPaymer, que agora operam de forma independente. O ransomware também está em constante evolução e atualizado com novos exploits, o que implica que mais variantes podem aparecer no futuro.

Principais conclusões

Os ataques da gangue de ransomware DoppelPaymer fornecem lições importantes para as equipes de segurança. Os administradores devem avaliar regularmente suas redes para qualquer atividade de ameaça potencial usando indicadores de comprometimento ou análise de comportamento. Ao fazer isso, as organizações podem eliminar esses ataques pela raiz, antes que se espalhem ainda mais pela rede.

Fonte: https://cyware.com/news/a-birds-eye-view-of-doppelpaymer-gang-bc1f75d7