# DoppelPaymer > Tipo: **malware (ransomware)** - Big Game Hunting - S0616 - [MITRE ATT&CK](https://attack.mitre.org/software/S0616) > [!danger] Primeiro Ransomware a Causar Morte Documentada > Em setembro de 2020, o [[doppelpaymer|DoppelPaymer]] atacou o Hospital Universitario de Dusseldorf, Alemanha. Com sistemas inoperantes, uma paciente em estado critico nao pude ser aténdida e morreu durante transferencia de emergência. E o primeiro caso documentado em que um ataque de ransomware contribuiu diretamente para uma morte humana - elevando ransomware a questao de segurança pública com implicacoes criminais para os operadores. ## Visão Geral [[doppelpaymer|DoppelPaymer]] e um ransomware desenvolvido e operado pelo grupo [[g0119-indrik-spider|Evil Corp]], surgido em junho de 2019 como uma bifurcacao técnica do [[bitpaymer|BitPaymer]] - malware anterior do mesmo grupo. A diferenca técnica principal entre os dois e a implementacao de multi-threading no DoppelPaymer, que acelera significativamente o processo de cifragem ao paralelizar operações de arquivo - inovacao que permitia comprometer redes de grande porte em muito menos tempo que o BitPaymer. O grupo [[g0119-indrik-spider|Evil Corp]], liderado por Maksim Yakubets (sancionado pelo Departamento do Tesouro dos EUA em dezembro de 2019), utilizou o [[s0384-dridex|Dridex]] como vetor de distribuição primario do DoppelPaymer. O fluxo clássico e: campanha de malspam distribui documentos Office com macro que baixa o Dridex, o Dridex realiza reconhecimento e captura credenciais, e em seguida implanta o DoppelPaymer em organizacoes identificadas como alvos de alto valor. O grupo também utilizava Process Hacker (ferramenta legItima de monitoramento) para terminar processos de segurança que resistiam ao encerramento via métodos convencionais. Em 2021, após sancoes do governo dos EUA tornarem ilegal para empresas americanas pagar resgaté ao [[g0119-indrik-spider|Evil Corp]], o grupo rebatizou o malware como "Grief" - uma tentativa de obscurecer a atribuicao e continuar operando sem violação das sancoes por parte das vitimas. O site de vazamento "Doppel Leaks" também foi rebatizado para "Grief News". Autoridades dos EUA e Europa realizaram operações coordenadas em marco de 2023, resultando em detencao de suspeitos na Ucrania e Alemanha pelo Europol e FBI. **Plataformas:** Windows ## Como Funciona A cadeia de infecção comeca com campanhas de malspam sofisticadas - emails com documentos Word ou Excel contendo macros que baixam o [[s0384-dridex|Dridex]]. O Dridex funciona como trojan bancario que captura credenciais via web injection em navegadores, realiza reconhecimento de rede e permite ao operador avaliar o valor potencial do alvo antes de implantar o DoppelPaymer. **Pos-comprometimento:** 1. O Dridex ou implante Cobalt Strike reporta caracteristicas da vitima ao grupo 2. Operadores decidem manualmente pelo deploy do ransomware com base no perfil financeiro 3. Escalacao de privilegios via credenciais roubadas ou exploits de Windows 4. Execução do Process Hacker para terminar processos de segurança que resistem 5. Execução do DoppelPaymer via `rundll32.exe` com argumento DLL injection ([[t1055-001-dll-injection|T1055.001]]) 6. Cifragem multi-thread de arquivos locais e compartilhamentos de rede 7. Nota de resgaté `[VICTIMNAME]-INSTRUCTIONS.txt` em cada diretorio O grupo realizava ligacoes telefonicas para representantes das vitimas - um componente de engenharia social presencial incomum que aumentava pressao psicológica durante negociacoes. Essa tática distinguia o Evil Corp de outros grupos puramente digitais. **Criptografia:** RSA-2048 (assimetrico) para proteger chaves AES-256 (simetrico por arquivo). Os arquivos cifrados recebem extensao `.doppeled` (variante original) ou extensao customizada (variante Grief). O DoppelPaymer para mais de 40 processos e servicos antes da cifragem, incluindo processos de banco de dados e backup. ## Attack Flow ```mermaid graph TB A["📧 Malspam Dridex<br/>Documento Office com macro<br/>T1566.001 Spearphishing Attachment"] --> B["🔗 Dridex Implantado<br/>Reconhecimento e credenciais<br/>Cobalt Strike para C2"] B --> C["📞 Avaliacao Manual do Alvo<br/>Operadores decidem deploy<br/>Big Game Hunting - USD 60M+"] C --> D["🛡 Desativacao de Segurança<br/>Process Hacker termina EDR<br/>T1562.001 Disable Tools"] D --> E["💉 DoppelPaymer via Rundll32<br/>DLL injection - T1055.001<br/>Multi-thread para velocidade"] E --> F["🔑 Criptografia RSA-2048+AES-256<br/>Arquivos locais + rede<br/>T1486 Data Encrypted for Impact"] F --> G["💰 Doppel Leaks - Dupla Extorsao<br/>Telefonemas para vitimas<br/>Resgaté negociado manualmente"] classDef access fill:#c0392b,color:#fff classDef dridex fill:#e67e22,color:#fff classDef eval fill:#f39c12,color:#fff classDef disable fill:#8e44ad,color:#fff classDef inject fill:#2980b9,color:#fff classDef encrypt fill:#1a5276,color:#fff classDef impact fill:#1e3a5f,color:#fff class A access class B dridex class C eval class D disable class E inject class F encrypt class G impact ``` ## Timeline ```mermaid timeline title DoppelPaymer - Linha do Tempo 2019-06 : DoppelPaymer identificado - bifurcacao do BitPaymer 2019-12 : OFAC/Tesouro EUA sanciona Evil Corp e Yakubets 2020-03 : Ataque a Visser Precision (fornecedor SpaceX/Tesla) 2020-09 : Ataque hospital Dusseldorf - primeira morte por ransomware 2021 : Rebatizado como Grief após sancoes OFAC 2021-01 : Ataque Kia Motors USA - USD 20M de resgaté 2022 : Grief continua ataques contra manufatura e governo 2023-03 : Europol e FBI prendem suspeitos - Ucrania e Alemanha ``` ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - distribuição do Dridex - [[t1059-001-powershell|T1059.001 - PowerShell]] - scripts pos-comprometimento - [[t1055-001-dll-injection|T1055.001 - DLL Injection]] - execução via injecao - [[t1218-011-rundll32|T1218.011 - Rundll32]] - execução do payload via rundll32 - [[t1057-process-discovery|T1057 - Process Discovery]] - enumeracao de processos alvo - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - Process Hacker contra EDR - [[t1489-service-stop|T1489 - Service Stop]] - 40+ servicos parados pre-cifragem - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - shadow copies deletadas - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - mapeamento de compartilhamentos - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - varredura de arquivos - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - movimentação lateral - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - RSA-2048 + AES-256 multi-thread ## Grupos que Usam - [[g0119-indrik-spider|Evil Corp]] - operador exclusivo, baseado na Russia, liderado por Maksim Yakubets (sancionado) ## Detecção > [!warning] Dridex como Sinal de Alerta Pre-Ransomware > A detecção e isolamento do [[s0384-dridex|Dridex]] em qualquer endpoint e o momento critico para interromper um potencial ataque DoppelPaymer. O intervalo entre infecção Dridex e deploy do ransomware pode ser de dias a semanas - tempo suficiente para resposta se o Dridex for detectado precocemente. **Indicadores comportamentais:** - Process Hacker (`ProcessHacker.exe`) executado por usuario nao-administrativo ou em horario fora do expediente - `rundll32.exe` carregando DLLs de caminhos incomuns (`%TEMP%`, `%APPDATA%`) - Parada sequencial de servicos: SQL Server, Exchange, Veeam, Acronis em intervalo menor que 2 minutos - Comúnicação outbound do Dridex com dominios C2 (certificados SSL autoassinados em portas 443/447/449) - Criação de arquivos `[VICTIMNAME]-INSTRUCTIONS.txt` em múltiplos diretorios simultaneamente - Extensao `.doppeled` ou extensao alfanumerica estranha em arquivos de usuario após parada de servicos **Sigma recomendado:** - `proc_creation_win_process_hacker.yml` - `proc_creation_win_rundll32_susp_dll.yml` - `proc_creation_win_dridex_indicators.yml` - `proc_creation_win_vssadmin_delete_shadows.yml` ## Relevância LATAM/Brasil O [[doppelpaymer|DoppelPaymer]] e seu sucessor Grief representam ameaça ao setor de saúde e manufatura no Brasil. O ataque ao Hospital de Dusseldorf estabeleceu um precedente juridico que afeta diretamente como incidentes de ransomware em hospitais brasileiros sao tratados - potencialmente como homicidio culposo ou dolo eventual. Hospitais brasileiros, especialmente redes privadas de grande porte (Hospital Sirio-Libanes, Rede D'Or, hospitais universitarios federais) com sistemas de prontuario eletronico e conectividade internet estao no perfil de risco. O grupo [[g0119-indrik-spider|Evil Corp]] foi documentado com operações na América do Sul, e o modelo Dridex-DoppelPaymer foi amplamente replicado por grupos locais que adaptaram dropers bancarios (TrickBot local, Mekotio, Grandoreiro) para implantar ransomware em etapas posteriores. ## Referências - [MITRE ATT&CK - S0616](https://attack.mitre.org/software/S0616) - [Europol - DoppelPaymer Takedown 2023](https://www.europol.europa.eu/media-press/newsroom/news/cybercrime-suspects-targeted-in-international-operation-against-doppelpaymer-ransomware-group) - [CrowdStrike - DoppelPaymer Analysis](https://www.crowdstrike.com/blog/doppelpaymer-ransomware-and-dridex-analysis/) - [BleepingComputer - Dusseldorf Hospital Death](https://www.bleepingcomputer.com/news/security/german-hospital-hacked-data-stolen-and-systems-down/) - [CISA - Evil Corp Sanctions Alert](https://www.cisa.gov/sites/default/files/publications/20-015-update_evercorp_sanctions_alert.pdf)