SOC Prime Bias: Critico

20 Nov 2025 18:32
newspaper icon AttackIQ

Racconti di Ransom: Volume V — Emulazione dei Ransomware REvil, DarkSide e BlackMatter

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Racconti di Ransom: Volume V — Emulazione dei Ransomware REvil, DarkSide e BlackMatter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Sintesi

Questo articolo copre il quinto volume della serie Ransom Tales di AttackIQ, che ricrea le tattiche, le tecniche e le procedure di tre famiglie di ransomware notorie: REvil, DarkSide e BlackMatter. Ciascuno scenario attraversa le fasi di esecuzione, persistenza, scoperta, evasione della difesa e impatto per consentire ai difensori di validare i playbook di rilevamento e risposta. Le emulazioni riproducono comportamenti distintivi, come il dirottamento dell’ordine di ricerca delle DLL, l’abuso del registro, i tasks pianificati per la persistenza, la cancellazione delle copie Shadow di VSS e la forte crittografia dei file. L’articolo rivisita anche intrusioni importanti nella catena di fornitura e traccia come il ransomware-as-a-service sia maturato nel tempo.

Analisi degli Attacchi Ransomware

Il Team di Ricerca sugli Avversari di AttackIQ ha utilizzato i rapporti di intelligence sulle minacce pubbliche e i campioni di malware per creare dei grafici di attacco realistici per ciascuna famiglia di ransomware. I ricercatori hanno mappato i singoli passaggi agli ID delle tecniche MITRE ATT&CK e progettato percorsi di esecuzione che recuperano payload, stabiliscono persistenza, enumerano informazioni di host e dominio, e cifrano file. Il team ha anche modellato l’uso di sfruttamenti CVE noti utilizzati da DarkSide per l’accesso iniziale. L’indagine sottolinea la strumentazione condivisa, l’infrastruttura sovrapposta e il riuso del codice da parte delle famiglie di ransomware REvil, DarkSide e BlackMatter.

Mitigazione

Le azioni di mitigazione consigliate si concentrano sull’applicazione del principio del minimo privilegio, la disabilitazione dei servizi non essenziali e la rapida applicazione di patch ai sistemi esposti, comprese le vulnerabilità note di VMware ESXi. Si esorta i team a limitare l’accesso tramite desktop remoto, monitorare attentamente modifiche sospette al registro e nuovi tasks pianificati, e a distribuire un controllo applicativo robusto. Le linee guida sottolineano ulteriormente il ruolo delle tecnologie di rilevamento degli endpoint e la verifica di routine dei backup per contenere il raggio d’esplosione degli incidenti ransomware.

Risposta

Quando viene rilevata un’attività in stile ransomware, i soccorritori dovrebbero immediatamente isolare i sistemi colpiti, catturare la memoria volatile, raccogliere gli hive del registro pertinenti e preservare le fonti di log. La revisione forense dovrebbe esaminare le copie shadow, i tasks pianificati e le chiavi di registro per i segnali delle tecniche di REvil, DarkSide o BlackMatter. Il recupero coinvolge il ripristino dei dati da backup puliti e convalidati e la ricerca di tentativi di movimento laterale utilizzando le credenziali SMB e LDAP. Infine, i team dovrebbero informare gli stakeholder, documentare l’incidente e arricchire i risultati con informazioni sulle minacce per supportare l’attribuzione e i miglioramenti difensivi futuri.

graph TB %% Definizioni delle classi classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Nodi – Esecuzione iniziale e preparazione tech_initial_exec[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1574.001 DLL Search Order Hijackingu003c/bu003eu003cbr/u003eIl malware carica una DLL malevola sfruttando l’ordine di ricerca delle DLL di Windows.u0022] nclass tech_initial_exec technique tech_anti_analysis[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1497 Evasione da virtualizzazione/sandboxu003c/bu003eu003cbr/u003eChiama l’API IsDebuggerPresent per rilevare ambienti di debug o sandbox.u0022] nclass tech_anti_analysis technique tech_registry_query[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1012 Interrogazione del Registrou003c/bu003eu003cbr/u003eCrea HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter e interroga il valore MachineGUID come identificatore univoco del sistema.u0022] nclass tech_registry_query technique tech_persistence[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1053 Attività/Processi pianificatiu003c/bu003eu003cbr/u003eStabilisce una attività pianificata utilizzando l’utilità schtasks per la persistenza.u0022] nclass tech_persistence technique tool_schtasks[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: schtasksu003cbr/u003eu003cbu003eScopou003c/bu003e: Creare e gestire attività pianificateu0022] nclass tool_schtasks tool %% Nodi – Fase di scoperta op_discovery((u0022Scopertau0022)) nclass op_discovery operator tech_sys_info[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1082 Scoperta delle informazioni di sistemau003c/bu003eu003cbr/u003eRaccoglie dettagli su sistema operativo e hardware tramite GetSystemInfo.u0022] nclass tech_sys_info technique tech_user_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1033 Scoperta del proprietario/utente del sistemau003c/bu003eu003cbr/u003eOttiene il nome dell’utente corrente tramite GetUserNameW.u0022] nclass tech_user_discovery technique tech_process_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1057 Scoperta dei processiu003c/bu003eu003cbr/u003eEnumera i processi in esecuzione utilizzando le API Toolhelp snapshot.u0022] nclass tech_process_discovery technique tech_service_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1007 Scoperta dei servizi di sistemau003c/bu003eu003cbr/u003eInterroga i servizi tramite EnumServicesStatusW.u0022] nclass tech_service_discovery technique tech_file_dir_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1083 Scoperta di file e directoryu003c/bu003eu003cbr/u003eEsplora il filesystem con FindFirstFileW / FindNextFileW.u0022] nclass tech_file_dir_discovery technique tech_software_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1518 Scoperta del softwareu003c/bu003eu003cbr/u003eUsa WMI (wmic) per elencare antivirus, antispyware e firewall installati.u0022] nclass tech_software_discovery technique tech_location_discovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1614 Scoperta della posizione del sistemau003c/bu003eu003cbr/u003eOttiene informazioni locali tramite GetLocaleInfoW.u0022] nclass tech_location_discovery technique %% Nodi – Evasione delle difese op_defense_evasion((u0022Evasione delle difeseu0022)) nclass op_defense_evasion operator tech_impair_defenses[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1562 Compromissione delle difeseu003c/bu003eu003cbr/u003eDisabilita il firewall di Windows utilizzando comandi netsh.u0022] nclass tech_impair_defenses technique tool_netsh[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: netshu003cbr/u003eu003cbu003eScopou003c/bu003e: Configurare e disabilitare il firewall di Windowsu0022] nclass tool_netsh tool tech_inhibit_recovery[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1490 Inibizione del ripristino del sistemau003c/bu003eu003cbr/u003eElimina le copie shadow del volume tramite vssadmin, wmic e PowerShell.u0022] nclass tech_inhibit_recovery technique tool_vssadmin[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: vssadminu003cbr/u003eu003cbu003eScopou003c/bu003e: Eliminare le copie shadowu0022] nclass tool_vssadmin tool tool_wmic[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: wmicu003cbr/u003eu003cbu003eScopou003c/bu003e: Eliminare le copie shadow tramite WMIu0022] nclass tool_wmic tool tool_powershell[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: PowerShellu003cbr/u003eu003cbu003eScopou003c/bu003e: Eliminare le copie shadow tramite Get‑WMIObjectu0022] nclass tool_powershell tool tech_clear_eventlogs[u0022u003cbu003eTecnicau003c/bu003e – u003cbu003eT1070.001 Cancellazione dei registri eventi di Windowsu003c/bu003eu003cbr/u003eCancella i log eventi tramite le API OpenEventLogW e ClearEventLogW.u0022] nclass tech_clear_eventlogs technique tool_eventlog[u0022u003cbu003eStrumentou003c/bu003e – u003cbu003eNomeu003c/bu003e: API di Windowsu003cbr/u003eu003cbu003eScopou003c/bu003e: Cancellare i registri eventi di Windowsu0022] nclass tool_eventlog tool %% Nodi – Impatto malware_ransom[u0022u003cbu003eMalwareu003c/bu003e – u003cbu003eNomeu003c/bu003e: DarkSide/REvilu003cbr/u003eu003cbu003eImpatto u003c/bu003e: Crittografa i file individuati sul discou0022] nclass malware_ransom malware node_files[u0022u003cbu003eTargetu003c/bu003e: File sul discou0022] nclass node_files process %% Connessioni – Flusso di esecuzione tech_initial_exec u002du002du003e|porta a| tech_anti_analysis tech_anti_analysis u002du002du003e|porta a| tech_registry_query tech_registry_query u002du002du003e|abilita| tech_persistence tech_persistence u002du002du003e|usa| tool_schtasks %% Connessioni – Flusso di scoperta tech_initial_exec u002du002du003e|attiva| op_discovery op_discovery u002du002du003e|usa| tech_sys_info op_discovery u002du002du003e|usa| tech_user_discovery op_discovery u002du002du003e|usa| tech_process_discovery op_discovery u002du002du003e|usa| tech_service_discovery op_discovery u002du002du003e|usa| tech_file_dir_discovery op_discovery u002du002du003e|usa| tech_software_discovery op_discovery u002du002du003e|usa| tech_location_discovery %% Connessioni – Flusso di evasione delle difese tech_initial_exec u002du002du003e|prepara| op_defense_evasion op_defense_evasion u002du002du003e|usa| tech_impair_defenses tech_impair_defenses u002du002du003e|usa| tool_netsh op_defense_evasion u002du002du003e|usa| tech_inhibit_recovery tech_inhibit_recovery u002du002du003e|usa| tool_vssadmin tech_inhibit_recovery u002du002du003e|usa| tool_wmic tech_inhibit_recovery u002du002du003e|usa| tool_powershell op_defense_evasion u002du002du003e|usa| tech_clear_eventlogs tech_clear_eventlogs u002du002du003e|usa| tool_eventlog %% Connessioni – Flusso di impatto op_discovery u002du002du003e|fornisce dati a| malware_ransom op_defense_evasion u002du002du003e|prepara l’ambiente per| malware_ransom malware_ransom u002du002du003e|crittografa| node_files nclass tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique nclass tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool nclass tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique nclass malware_ransom malware nclass node_files process nclass op_discovery,op_defense_evasion operator

Flusso di Attacco

Simulazioni

Esecuzione della Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.

Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e puntare a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narrazione & Comandi dell’Attacco:
    L’operatore REvil prende di mira la macchina della vittima per garantire che il payload del ransomware si lanci automaticamente dopo un riavvio. Utilizzando un dropper PowerShell, l’attaccante crea tre modifiche al registro che la regola monitora:

    1. Crea una chiave ingannevole “BlackLivesMatter” sotto il ramo Wow6432Node – un indicatore noto di REvil.
    2. Abilita AutoAdminLogon per forzare il logon automatico di un account privilegiato dopo il riavvio, facilitando l’esecuzione del ransomware.
    3. Aggiungi un payload alla chiave RunOnce così l’eseguibile dannoso viene eseguito una volta all’avvio del sistema.

    Tutte e tre le azioni vengono eseguite con diritti elevati, generando voci di Security Event ID 13 che corrispondono al filtro di selezione della regola Sigma.

  • Script di Test di Regressione:

    # -------------------------------------------------
# Simulazione Manipolazione Registro REvil (TC-20251114-3Z7XQ)
# -------------------------------------------------
# 1. Chiave BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
$blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
New-Item -Path $blmKey -Force | Out-Null
New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force

# 2. Attivazione AutoAdminLogon
$autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force

# 3. Persistenza RunOnce per il payload
$runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
New-Item -Path $runOnceKey -Force | Out-Null
New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force

Write-Host "Simulazione registro REvil completata. Verificare gli avvisi nel SIEM."

  • Comandi di Pulizia:

    # -------------------------------------------------
# Pulizia degli Artefatti della Simulazione Registro REvil
# -------------------------------------------------
# Rimuovi la chiave BlackLivesMatter
Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue

# Reimposta AutoAdminLogon (imposto a 0 o rimuovi)
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
    -Name 'AutoAdminLogon' -Value '0' -Force

# Rimuovi la voce RunOnce
Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
    -Name 'RevilStart' -Force -ErrorAction SilentlyContinue

Write-Host "Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis