SOC Prime Bias: Crítico

20 Nov 2025 18:32
newspaper icon AttackIQ

Histórias de Resgate: Volume V — Emulando Ransomware REvil, DarkSide, e BlackMatter

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Histórias de Resgate: Volume V — Emulando Ransomware REvil, DarkSide, e BlackMatter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Este artigo aborda o quinto volume da série Ransom Tales da AttackIQ, que recria as táticas, técnicas e procedimentos de três famílias notórias de ransomware—REvil, DarkSide e BlackMatter. Cada cenário percorre as etapas de execução, persistência, descoberta, evasão de defesa e impacto para permitir que os defensores validem livros de estratégias de detecção e resposta. As emulações reproduzem comportamentos característicos, como sequestro da ordem de busca de DLLs, abuso de registro, tarefas agendadas para persistência, exclusão de cópias de sombra do VSS e criptografia forte de arquivos. A peça também revisita grandes intrusões na cadeia de suprimentos e acompanha como o ransomware como serviço amadureceu ao longo do tempo.

Análise de Ataque de Ransomware

A equipe de pesquisa de adversários da AttackIQ baseou-se em relatórios de inteligência de ameaças públicas e amostras de malware para criar gráficos de ataque realistas para cada família de ransomware. Os pesquisadores mapearam etapas individuais para os IDs de técnica MITRE ATT&CK e projetaram caminhos de execução que recuperam cargas úteis, estabelecem persistência, enumeram informações de host e domínio, e criptografam arquivos. A equipe também modelou o uso de exploits de CVEs conhecidos explorados pelo DarkSide para acesso inicial. A investigação destaca ferramentas compartilhadas, infraestruturas sobrepostas e reutilização de código pelas famílias de ransomware REvil, DarkSide e BlackMatter.

Mitigação

As ações de mitigação recomendadas se concentram em reforçar o princípio do menor privilégio, desativar serviços não essenciais e corrigir rapidamente sistemas expostos, incluindo vulnerabilidades conhecidas do VMware ESXi. As equipes são instadas a restringir o acesso remoto à área de trabalho, monitorar de perto mudanças suspeitas no registro e novas tarefas agendadas criadas, e implantar um controle robusto de aplicativos. As orientações ainda enfatizam o papel das tecnologias de detecção em endpoints e a verificação rotineira de backups para conter o raio de explosão dos incidentes de ransomware.

Resposta

Quando atividade no estilo ransomware for detectada, os respondedores devem isolar imediatamente os sistemas impactados, capturar memória volátil, coletar hives relevantes do registro e preservar as fontes de log. A revisão forense deve examinar cópias de sombra, tarefas agendadas e chaves de registro para sinais das táticas do REvil, DarkSide ou BlackMatter. A recuperação envolve restaurar dados de backups limpos e validados e buscar tentativas de movimento lateral usando credenciais SMB e LDAP. Finalmente, as equipes devem informar as partes interessadas, documentar o incidente e enriquecer os achados com inteligência de ameaças para apoiar a atribuição e melhorias defensivas futuras.

graph TB %% Class Definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Nodes – Initial Execution and Setup tech_initial_exec[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1574.001 Sequestro da Ordem de Busca de DLLu003c/bu003eu003cbr/u003eO malware carrega uma DLL maliciosa ao sequestrar a ordem de busca de DLL do Windows.u0022] class tech_initial_exec technique tech_anti_analysis[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1497 Evasão de Virtualização/Sandboxu003c/bu003eu003cbr/u003eChama a API IsDebuggerPresent para detectar ambientes de depuração ou sandbox.u0022] class tech_anti_analysis technique tech_registry_query[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1012 Consulta ao Registrou003c/bu003eu003cbr/u003eCria HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter e consulta o valor MachineGUID para obter um identificador único do sistema.u0022] class tech_registry_query technique tech_persistence[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1053 Tarefa Agendada/Trabalhou003c/bu003eu003cbr/u003eEstabelece uma tarefa agendada usando o utilitário schtasks para persistência.u0022] class tech_persistence technique tool_schtasks[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: schtasksu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Criar e gerenciar tarefas agendadasu0022] class tool_schtasks tool %% Nodes – Discovery Phase op_discovery((u0022Descobertau0022)) class op_discovery operator tech_sys_info[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1082 Descoberta de Informações do Sistemau003c/bu003eu003cbr/u003eColeta detalhes do SO e hardware via GetSystemInfo.u0022] class tech_sys_info technique tech_user_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1033 Descoberta do Proprietário/Usuário do Sistemau003c/bu003eu003cbr/u003eObtém o nome de usuário atual via GetUserNameW.u0022] class tech_user_discovery technique tech_process_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1057 Descoberta de Processosu003c/bu003eu003cbr/u003eEnumera processos em execução usando APIs de snapshot Toolhelp.u0022] class tech_process_discovery technique tech_service_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1007 Descoberta de Serviços do Sistemau003c/bu003eu003cbr/u003eConsulta serviços via EnumServicesStatusW.u0022] class tech_service_discovery technique tech_file_dir_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1083 Descoberta de Arquivos e Diretóriosu003c/bu003eu003cbr/u003ePercorre o sistema de arquivos com FindFirstFileW / FindNextFileW.u0022] class tech_file_dir_discovery technique tech_software_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1518 Descoberta de Softwareu003c/bu003eu003cbr/u003eUsa WMI (wmic) para listar antivírus, antispyware e firewalls instalados.u0022] class tech_software_discovery technique tech_location_discovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1614 Descoberta da Localização do Sistemau003c/bu003eu003cbr/u003eObtém informações de localidade via GetLocaleInfoW.u0022] class tech_location_discovery technique %% Nodes – Defense Evasion op_defense_evasion((u0022Evasão de Defesau0022)) class op_defense_evasion operator tech_impair_defenses[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1562 Prejudicar Defesasu003c/bu003eu003cbr/u003eDesativa o Firewall do Windows usando comandos netsh.u0022] class tech_impair_defenses technique tool_netsh[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: netshu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Configurar e desativar o Firewall do Windowsu0022] class tool_netsh tool tech_inhibit_recovery[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1490 Inibir Recuperação do Sistemau003c/bu003eu003cbr/u003eExclui Cópias de Sombra de Volume via vssadmin, wmic e PowerShell.u0022] class tech_inhibit_recovery technique tool_vssadmin[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: vssadminu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Excluir cópias de sombraz_u0022] class tool_vssadmin tool tool_wmic[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: wmicu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Excluir cópias de sombra via WMIu0022] class tool_wmic tool tool_powershell[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: PowerShellu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Excluir cópias de sombra via Get-WMIObjectu0022] class tool_powershell tool tech_clear_eventlogs[u0022u003cbu003eTécnicau003c/bu003e – u003cbu003eT1070.001 Limpar Logs de Eventos do Windowsu003c/bu003eu003cbr/u003eLimpa logs de eventos via APIs OpenEventLogW e ClearEventLogW.u0022] class tech_clear_eventlogs technique tool_eventlog[u0022u003cbu003eFerramentau003c/bu003e – u003cbu003eNomeu003c/bu003e: API do Windowsu003cbr/u003eu003cbu003ePropósitou003c/bu003e: Limpar logs de eventos do Windowsu0022] class tool_eventlog tool %% Nodes – Impact malware_ransom[u0022u003cbu003eMalwareu003c/bu003e – u003cbu003eNomeu003c/bu003e: DarkSide/REvilu003cbr/u003eu003cbu003eImpactou003c/bu003e: Criptografa arquivos descobertos no disku0022] class malware_ransom malware node_files[u0022u003cbu003eAlvou003c/bu003e: Arquivos no disku0022] class node_files process %% Connections – Execution Flow tech_initial_exec u002du002du003e|leva a| tech_anti_analysis tech_anti_analysis u002du002du003e|leva a| tech_registry_query tech_registry_query u002du002du003e|habilita| tech_persistence tech_persistence u002du002du003e|usa| tool_schtasks %% Connections – Discovery Flow tech_initial_exec u002du002du003e|aciona| op_discovery op_discovery u002du002du003e|usa| tech_sys_info op_discovery u002du002du003e|usa| tech_user_discovery op_discovery u002du002du003e|usa| tech_process_discovery op_discovery u002du002du003e|usa| tech_service_discovery op_discovery u002du002du003e|usa| tech_file_dir_discovery op_discovery u002du002du003e|usa| tech_software_discovery op_discovery u002du002du003e|usa| tech_location_discovery %% Connections – Defense Evasion Flow tech_initial_exec u002du002du003e|prepara| op_defense_evasion op_defense_evasion u002du002du003e|usa| tech_impair_defenses tech_impair_defenses u002du002du003e|usa| tool_netsh op_defense_evasion u002du002du003e|usa| tech_inhibit_recovery tech_inhibit_recovery u002du002du003e|usa| tool_vssadmin tech_inhibit_recovery u002du002du003e|usa| tool_wmic tech_inhibit_recovery u002du002du003e|usa| tool_powershell op_defense_evasion u002du002du003e|usa| tech_clear_eventlogs tech_clear_eventlogs u002du002du003e|usa| tool_eventlog %% Connections – Impact Flow op_discovery u002du002du003e|fornece dados para| malware_ransom op_defense_evasion u002du002du003e|prepara o ambiente para| malware_ransom malware_ransom u002du002du003e|criptografa| node_files class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class malware_ransom malware class node_files process class op_discovery,op_defense_evasion operator

Fluxo de Ataque

Simulações

Execução da Simulação

Pré-requisito: A Verificação Prévia de Telemetria & Baseline deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    O operador REvil visa a máquina da vítima para garantir que a carga útil do ransomware seja lançada automaticamente após uma reinicialização. Usando um dropper PowerShell, o atacante cria três modificações no registro que a regra monitora:

    1. Criar uma chave “BlackLivesMatter” enganosa sob o ramo Wow6432Node – um indicador conhecido do REvil.
    2. Habilitar AutoAdminLogon para forçar o logon automático de uma conta privilegiada após a reinicialização, facilitando a execução do ransomware.
    3. Adicionar uma carga útil à chave RunOnce para que o executável malicioso seja executado uma vez no início do sistema.

    Todas as três ações são realizadas com direitos elevados, gerando entradas Security Event ID 13 que coincidem com a seleção do filtro da regra Sigma.

  • Script de Teste de Regressão:

    # -------------------------------------------------
# Simulação de Manipulação de Registro REvil (TC-20251114-3Z7XQ)
# -------------------------------------------------
# 1. Chave BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
$blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
New-Item -Path $blmKey -Force | Out-Null
New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force

# 2. Ativação do AutoAdminLogon
$autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force

# 3. Persistência do RunOnce para a carga útil
$runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
New-Item -Path $runOnceKey -Force | Out-Null
New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force

Write-Host "Simulação de registro REvil concluída. Verifique alertas no SIEM."

  • Comandos de Limpeza:

    # -------------------------------------------------
# Limpeza de Artefatos de Simulação de Registro REvil
# -------------------------------------------------
# Remover chave BlackLivesMatter
Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue

# Redefinir AutoAdminLogon (definir para 0 ou remover)
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
    -Name 'AutoAdminLogon' -Value '0' -Force

# Remover entrada RunOnce
Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
    -Name 'RevilStart' -Force -ErrorAction SilentlyContinue

Write-Host "Limpeza concluída."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Junte-se Gratuitamente