[2019.11.13] 멕시코 PEMEX 오일, DoppelPaymer 랜섬웨어 감염

요약

- 최초 보도에 따르면 Ryuk 랜섬웨어에 감염 되었던것으로 알려졌으나, 감염 랜섬노트 분석 결과 DoppelPaymer 랜섬웨어 감염인 것으로 밝혀짐

- 랜섬노트에 따르면 565 Bitcoin (약 58억) 을 요구 (1 bitcoin = 10,229,000원)

- 감염 화면

참고 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

- BitPaymer 랜섬웨어 노트와 유사하나, 아래와 같이 DoppelPaymer 랜섬노트의 특징인 DATA 를 확인 할 수 있음

      참고 : hxxps://twitter.com/VK_Intel/status/1194344782786527233

 - Vitali Kremez 연구원 DoppelPayer 감염 샘플 분석 

hxxps://twitter.com/VK_Intel/status/1194344782786527233

-      Vitali Kremez 연구원의 예상 감염 시나리오 :

Emotet 감염 → Dridex 멀웨어 설치→ DoppelPayer 공격자의 해당 시스템에 대한 네트워크 접근 허용 → Cobalt Strike 와 PowerShell Empire 사용해 랜섬웨어 전파

- 랜섬웨어 샘플 

46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5

탐지룰 존재유무

- Yara Rule :

hxxps://github.com/k-vitali/Malware-Misc-RE/blob/master/2019-11-11-crime_doppelpaymer_ransomware_1.vk.yar

import "pe"

rule crime_win32_doppelpaymer_ransomware_1 {

   meta:

      description = "Detects DoppelPaymer payload Nov 11 Signed"

      author = "@VK_Intel"

      reference = "https://twitter.com/VK_Intel/status/1193937831766429696"

      date = "2019-11-11"

      hash1 = "46254a390027a1708f6951f8af3da13d033dee9a71a4ee75f257087218676dd5"

   strings:

       $s1 = "Setup run" fullword wide

       $hash_function = { ?? ?? 8b fa 8b ?? 8b cf e8 ?? ?? ?? ?? 85 c0 75 ?? 81 ?? }

   condition:

      ( uint16(0) == 0x5a4d and

         filesize < 2500KB and

         ( all of them )

      )

}

영향성

- 공격자의 Tor 사이트에 다음과 같은 메시지가 추가 됨 

"Also, we have gathered all your private sensitive data. So if you decide not to pay, we would share it. It may harm your business reputation."

(회사 평판에 악영향을 미칠 수 있는 민감한 정보를 가지고 있으니 돈을 지불하지 않으면, 배포하겠다.)

참고자료

출처 : hxxps://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

hxxps://twitter.com/VK_Intel/status/1194344782786527233

hxxps://twitter.com/malwrhunterteam/status/1194262241283063814