Pillole di Threat Intelligence
Il ransomware Dopplemeyer
Il recente report di Trend Micro "A constant State of Flux" ci riporta i dati delle infezioni rilevate durante l'anno 2020 dalla famosa casa.
Conferma che i ransomware sono sempre più sofisticati e fanno sempre pù male!
Il Ransomware più attivo nel 2020 è Locky, seguito da Cerber e Ryuk.
Tra gli emergenti troviamo DopplePaymer che utilizza una catena di infezione alquanto articolata.
In pratica si diffonde tramite Emotet, che generalmente inizialmente scarica il bankingTrojan Dridex.
Vengono eseguite azioni di movimento laterale, disabilitazione degli antivirus etc... utilizzando PowerShell Empire, Cobalt Strike, Mimikaz e PSExec ed infine viene scaricato DoppelMeyer che si occupa di criptare il disco.
In pratica, viene confermato che i Ransomware oramai non sono altro che lo stage finale di un'infezione che cerca di prendere tutto ciò che si trova di interessante ed infine, quando si è prosciugato il pozzo si parte con il cripting.
Il target primario di DoppleMeyer sono aziende nel settore Sanitario, servizi emergenziali e scolastici.