Nel 2019 è stato rilevato per la prima volta un nuovo tipo ransomware: si trattava di DoppelPaymer.
Questo malware, appartenente alla famiglia dei Dridex, fu testato con delle versioni di prova nei primi mesi del 2019. Ma i criminali di appartenenti alla cybergang Indrix Spider, che dal 2014 si occupa di distribuire software malevoli, hanno iniziato la diffusione della versione completa di DopperPaymer solo nella seconda metà del 2019.

Questo ransomware è stato attivo nel 2019 e per tutto l’anno successivo, per poi progressivamente sparire. In realtà probabilmente non si tratta di una vera e propria scomparsa ma più probabilmente di un’attività di rebranding che lo ha portato a trasformarsi in Grief ransomware. Nonostante ad oggi gli attacchi di DoppelPaymer non siano più in voga, ci sono diverse nozioni che questa esperienza passata ci può lasciare. Per saperne di più, proseguite con la lettura.

DoppelPaymer ransomware
  1. Che cosa è DoppelPaymer
  2. Come funziona un attacco di DoppelPaymer
  3. Quali sono le peculiarità di DoppelPaymer
  4. Come difendersi da DoppelPaymer ransomware

Che cosa è DoppelPaymer

DoppelPaymer è un ransomware, cioè un malware che sequestra i dati della sua vittima crittografandoli e manda una nota di riscatto al legittimo proprietario con le istruzioni per il rilascio. Si suppone che si tratti di un’evoluzione del malware del 2018 BitPaymer, perché i due malware hanno moltissime somiglianze nel codice, nei messaggi di riscatto e nei portali per il pagamento e la pubblicazione degli indentificativi delle vittime e degli estratti di dati. Esistono però anche delle differenze non trascurabili nei comandi necessari all’esecuzione del codice malevolo. Nel codice di DoppelPaymer infatti, sono utilizzate delle strategie di aggiramento delle sandbox, tecniche anti-rilevamento e anti-analisi che nella versione precedente non esistevano.

Come funziona un attacco di DoppelPaymer

Questo attacco, per lo più segue la logica e le fasi tipiche di un qualsiasi altro ransomware, anche se il processo specifico differisce in qualche passaggio. Vediamo in dettaglio cosa succede:

  • Gli hacker incorporano il codice dannoso in un file o in un collegamento ipertestuale e lo allegano ad una e-mail o ad un messaggio. Esistono svariati altri metodi per diffondere un malware, come ad esempio, la navigazione in siti compromessi o il download da piattaforme fake, ma nel caso di DoppelPaymer le infezioni avvengono nella quasi totalità attraverso mail di phishing o spam.
  • La potenziale vittima riceve il messaggio. Il suo contenuto sembra importante, magari urgente. Il mittente è apparentemente affidabile, potrebbe essere un servizio di cui fa uso abitualmente, un collega, un superiore. L’utente decide di fare clic sul collegamento o scaricare l’allegato.
  • Inconsciamente ha attivato l’esecuzione del file. Un ceppo di malware chiamato Emotet viene scaricato sul suo dispositivo.
  • Emotet esegue altri software dannosi e crittografa i file e le unità di rete esistenti, aggiunge l’estensione tipica ai file, modifica le password in modo che gli utenti non possano accedere al sistema.
  • A questo punto, DoppelPaymer forza il riavvio del sistema in modalità provvisoria ed inserisce la richiesta di riscatto.
  • Infine DoppelPaymer esegue ProcessHacker per interrompere i processi di sicurezza che potrebbero rilevarlo ed eliminarlo. Blocca inoltre i server di posta elettronica, i backup e i software di database.

Quali sono le peculiarità di DoppelPaymer

DoppelPaymer è un tipo di ransomware che crittografa i file delle vittime e chiede un riscatto in cambio della chiave di decrittazione.  Di seguito ecco alcune delle principali caratteristiche tecniche di DoppelPaymer:

Distribuzione di DoppelPaymer

il cryptovirus viene spesso distribuito attraverso attacchi di phishing via email, exploit kit, RDP (Remote Desktop Protocol) compromessi o altri vettori di infezione comuni. Gli aggressori possono anche sfruttare vulnerabilità note nei software e nei sistemi operativi per guadagnare l’accesso alle reti delle vittime.
Crittografia: DoppelPaymer utilizza una combinazione di crittografia simmetrica e asimmetrica. Tipicamente, utilizza l’algoritmo di crittografia AES-256 per crittografare i file delle vittime e crittografa poi la chiave di crittografia simmetrica con la crittografia RSA-2048, che è un algoritmo di crittografia a chiave pubblica.

Estensione dei file di DoppelPaymer ransomware

Dopo aver crittografato i file delle vittime, DoppelPaymer aggiunge un’estensione personalizzata, composta dal prefisso “.doppeled” seguito da un identificativo univoco per la vittima.

Ransom note di DoppelPaymer malware

DoppelPaymer crea un file di testo con le istruzioni per il pagamento del riscatto e lo posiziona nelle cartelle che contengono i file crittografati. La nota del riscatto contiene informazioni su come contattare gli aggressori, solitamente tramite un sito web del dark web, e le istruzioni su come pagare il riscatto, di solito in criptovaluta come Bitcoin.

Persistenza e rimozione del ransomware

DoppelPaymer può utilizzare diversi metodi per mantenere la persistenza nel sistema infetto, come la modifica delle chiavi del registro di sistema o la creazione di nuovi processi e servizi. La rimozione del ransomware può essere complessa, e in alcuni casi potrebbe essere necessario un intervento manuale per eliminare completamente i componenti dannosi.

Esfiltrazione dei dati da parte di ransomware DoppelPaymer

Alcune varianti di DoppelPaymer sono state segnalate per essere in grado di esfiltrare dati sensibili dalle reti infette, aumentando così il potenziale impatto dell’attacco.

La prevenzione è la miglior difesa contro i ransomware come DoppelPaymer, pertanto è fondamentale mantenere aggiornati i sistemi e i software, effettuare regolarmente il backup dei dati e formare gli utenti su come riconoscere e prevenire gli attacchi di phishing.

Come difendersi da DoppelPaymer ransomware

Per difendersi da DoppelPaymer e da altri ransomware, è importante adottare una serie di misure preventive e buone pratiche di sicurezza informatica. Di seguito, alcuni passaggi chiave per proteggere i tuoi dati e i tuoi sistemi:

  1. Assicurati di mantenere aggiornati tutti i software e i sistemi operativi, applicando regolarmente le patch di sicurezza per proteggerti dalle vulnerabilità note.
  2. Esegui regolarmente il backup dei tuoi dati su dispositivi esterni o servizi cloud e verifica che i backup siano funzionanti e facilmente recuperabili. Idealmente, dovresti seguire la regola del 3-2-1: tre copie dei dati, su due diversi tipi di supporti, con una copia conservata off-site (fuori sede).
  3. Utilizza una soluzione di sicurezza affidabile che includa antivirus, firewall e altre funzionalità di protezione avanzate per rilevare e bloccare le minacce prima che possano causare danni.
  4. Imposta filtri e-mail per bloccare gli allegati sospetti e i messaggi di phishing. Utilizza anche soluzioni di protezione web per bloccare l’accesso a siti dannosi o compromessi.
  5. Limita i privilegi di amministratore e l’accesso ai file sensibili solo agli utenti che ne hanno bisogno. Questo può ridurre la portata di un attacco ransomware se un account viene compromesso.
  6. Offri una formazione adeguata ai dipendenti per aiutarli a riconoscere e segnalare tentativi di phishing, e incoraggia una cultura della sicurezza all’interno dell’organizzazione.
  7. Monitora regolarmente i tuoi sistemi e le tue reti per rilevare attività sospette o non autorizzate. Avere un piano di risposta agli incidenti può aiutare a ridurre l’impatto di un attacco ransomware.

Per quanto riguarda i tool di decrittazione, al momento non esiste un decryptor per DoppelPaymer, poiché utilizza algoritmi di crittografia forti e sicuri. Tuttavia, è sempre possibile che in futuro gli esperti di sicurezza informatica rilascino strumenti di decrittazione se vengono scoperte delle vulnerabilità nel ransomware o se gli aggressori vengono smascherati e le chiavi di decrittazione vengono rese pubbliche.

Nel frattempo, è importante concentrarsi sulla prevenzione e seguire le buone pratiche di sicurezza informatica per proteggere i tuoi dati e i tuoi sistemi da DoppelPaymer e da altre minacce ransomware.