Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Ransomware: DoppelPaymer (BitPaymer)




DoppelPaymer es una familia de ransomware y un grupo de actores de amenazas que debutó públicamente en junio de 2019. Si bien los ataques vinculados definitivamente tanto al grupo como a la versión completamente madura del malware comenzaron en junio de 2019, la seguridad obtuvo versiones anteriores y menos maduras del malware. investigadores varios meses antes, aunque sin ninguna afiliación grupal definitiva. Esto puede indicar que los actores estaban probando la funcionalidad antes de emplear el malware en un ataque real o que ajustaron su enfoque con el tiempo para tratar con sus víctimas.

 



ransomware DoppelPaymer

DoppelPaymer se considera parte de una familia de ransomware llamada BitPaymer. Los actores detrás de DoppelPaymer comparten cierta superposición con un grupo de actores conocido como Indrik Spider. Los actores de DoppelPaymer, como muchos otros grupos de actores de amenazas de ransomware, mantienen un sitio público y una presencia en las redes sociales que generalmente incluye listas de víctimas y sus datos filtrados.

Desde el inicio de DoppelPaymer, la familia de malware ha utilizado normalmente dos extensiones de archivo en los puntos finales de las víctimas: .locked y .doppeled. Fuera de las dos extensiones de archivo empleadas por DoppelPaymer, este ransomware emplea una técnica interesante para finalizar procesos y servicios: aprovecha ProcessHacker




ProcessHacker es una aplicación de administración legítima de código abierto que se incluye con muchas muestras de DoppelPaymer y se utiliza para finalizar procesos y servicios en el punto final infectado.

La nota de ransomware mostrada por DoppelPaymer se parece mucho a la nota de ransomware lanzada por BitPaymer en 2018. La nota de rescate no incluye el monto del rescate, pero sí incluye un dominio .onion que es un portal de pago y contacto con los actores detrás del ataque. Al igual que la nota de rescate, el portal de pago de DoppelPaymer es casi un clon del portal de pago original de BitPaymer.

 Doppelpaymer se utiliza contra empresas de las industrias mayorista y minorista, manufactura, finanzas, seguros, transporte y logística, alta tecnología, hotelería y bienes raíces. Desde una perspectiva regional, los actores de amenazas detrás de DoppelPaymer se han dirigido a víctimas en los EE. UU., Canadá, México, Sudáfrica, Bélgica, Italia, Noruega y Alemania.



DoppelPaymer se propaga a través de operadores humanos remotos que utilizan credenciales de administrador de dominio comprometidas para extenderse por la red de una organización. El importe del rescate que los operadores detrás de DoppelPaymer suelen exigir es de entre $ 25,000 y $ 17 millones. El rescate promedio pagado en 2020, generalmente en Bitcoin, alcanzó los $ 276.587,41.

Fuentes:

https://unit42.paloaltonetworks.com/ransomware-threat-assessments/4/

https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-2/

https://success.trendmicro.com/solution/000261855


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.