SOC Prime Bias: Alto

17 Apr 2026 17:40
newspaper icon Rapporto sul Ransomware di ThreatLabz

Il Re delle Ricompense Punta al Trono del Ransomware

Author Photo
SOC Prime Team linkedin icon Segui
Il Re delle Ricompense Punta al Trono del Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Indagine

ThreatLabz ha analizzato diversi campioni di ransomware, invertendo le funzioni di hash personalizzate CRC e FNV1 utilizzate dal malware e identificando la persistenza attraverso compiti pianificati. I ricercatori hanno anche documentato il meccanismo di cifratura, le estensioni dei file mirate e il flusso di esecuzione complessivo. La loro analisi ha rivelato un elenco integrato di processi relativi alla sicurezza che il ransomware tenta di terminare utilizzando chiamate di sistema a basso livello prima che inizi la cifratura. Ulteriori indicatori, inclusi parametri da linea di comando e schemi di estensioni di file, sono stati estratti direttamente dai campioni per supportare gli sforzi di rilevamento e caccia.

Mitigazione

Le organizzazioni dovrebbero applicare l’autenticazione a più fattori, addestrare gli utenti a riconoscere i tentativi di ingegneria sociale e monitorare l’uso sospetto di strumenti come Microsoft Teams e Quick Assist. I difensori dovrebbero inoltre bloccare le estensioni di file note per essere correlate al ransomware e implementare rilevamenti endpoint in grado di identificare la creazione di compiti pianificati sotto il percorso Mozilla, così come le chiamate a SetFileInformationByHandle con FileRenameInfo. I backup offline dovrebbero essere mantenuti con regolarità, e le copie shadow dovrebbero essere protette per migliorare le opzioni di recupero in caso di cifratura.

Risposta

Se viene rilevata un’attività di Payouts King, isolare immediatamente il sistema colpito e raccogliere sia la memoria volatile che le immagini del disco per l’analisi forense. Gli investigatori dovrebbero esaminare i compiti pianificati alla ricerca di nomi come MozillaUpdateTask and MozillaElevateTask, quindi cercare gli argomenti della linea di comando CRC personalizzati e le estensioni uniche dei file criptati associate al malware. Il recupero dovrebbe concentrarsi sul ripristino dei dati da backup puliti verificati. I team di sicurezza dovrebbero inoltre inviare gli hash dei campioni identificati alle piattaforme di intelligence sulle minacce pertinenti per supportare il tracciamento e la difesa più ampia.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[“<b>Azione</b> – T1566.001 Phishing: allegato spearphishing<br/><b>Descrizione</b>: Email con allegato malevolo che finge IT.<br/><b>ID tecnica</b>: T1566.001”] class action_phishing action action_user_exec[“<b>Azione</b> – T1204.002 Esecuzione utente<br/><b>Descrizione</b>: Apertura file e avvio ransomware.<br/><b>ID tecnica</b>: T1204.002”] class action_user_exec action tool_malicious_file[“<b>Strumento</b> – File payload malevolo<br/><b>Descrizione</b>: File eseguibile da phishing”] class tool_malicious_file tool process_cmd_shell[“<b>Processo</b> – T1059.003 Windows Command Shell<br/><b>Descrizione</b>: cmd.exe eseguito da ransomware.<br/><b>ID tecnica</b>: T1059.003”] class process_cmd_shell process action_scheduled_task[“<b>Azione</b> – T1053 Task pianificato<br/><b>Descrizione</b>: Crea \Mozilla\UpdateTask.<br/><b>ID tecnica</b>: T1053”] class action_scheduled_task action action_elevate_task[“<b>Azione</b> – T1546 Esecuzione eventi<br/><b>Descrizione</b>: Esecuzione come SYSTEM.<br/><b>ID tecnica</b>: T1546”] class action_elevate_task action defense_obfuscation_dynapi[“<b>Evasione</b> – T1027.007 Risoluzione API dinamica<br/><b>Descrizione</b>: Hash CRC/FNV1 API.<br/><b>ID tecnica</b>: T1027.007”] class defense_obfuscation_dynapi malware defense_evasion_process_kill[“<b>Evasione</b> – T1564.011 Ignora interrupt processi<br/><b>Descrizione</b>: Termina AV con syscall.<br/><b>ID tecnica</b>: T1564.011”] class defense_evasion_process_kill malware defense_obfuscation_general[“<b>Evasione</b> – T1027 File offuscati<br/><b>Descrizione</b>: Stringhe stack e sezioni cifrate.<br/><b>ID tecnica</b>: T1027”] class defense_obfuscation_general malware impact_encrypt_files[“<b>Impatto</b> – T1560.003 Crittografia custom<br/><b>Descrizione</b>: AES-256-CTR + RSA-4096.<br/><b>ID tecnica</b>: T1560.003”] class impact_encrypt_files malware impact_delete_shadows[“<b>Impatto</b> – T1006 Eliminazione shadow copies<br/><b>Descrizione</b>: vssadmin elimina backup.<br/><b>ID tecnica</b>: T1006”] class impact_delete_shadows malware impact_clear_logs[“<b>Impatto</b> – T1070.001 Cancellazione log<br/><b>Descrizione</b>: EvtClearLog rimuove eventi.<br/><b>ID tecnica</b>: T1070.001”] class impact_clear_logs malware credential_private_key[“<b>Credenziale</b> – T1552.004 Chiavi private<br/><b>Descrizione</b>: RSA protegge chiavi AES.<br/><b>ID tecnica</b>: T1552.004”] class credential_private_key credential action_phishing –>|porta a| action_user_exec action_user_exec –>|esegue| tool_malicious_file tool_malicious_file –>|avvia| process_cmd_shell process_cmd_shell –>|crea| action_scheduled_task action_scheduled_task –>|crea| action_elevate_task action_elevate_task –>|attiva| defense_obfuscation_dynapi action_elevate_task –>|attiva| defense_evasion_process_kill action_elevate_task –>|attiva| defense_obfuscation_general defense_obfuscation_dynapi –>|supporta| impact_encrypt_files defense_evasion_process_kill –>|supporta| impact_encrypt_files defense_obfuscation_general –>|supporta| impact_encrypt_files impact_encrypt_files –>|usa| credential_private_key impact_encrypt_files –>|causa| impact_delete_shadows impact_encrypt_files –>|causa| impact_clear_logs

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre‑volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttemente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati portano a diagnosi errate.

  • Narrazione & Comandi di Attacco:

    L’attaccante, avendo ottenuto l’accesso iniziale, vuole assicurarsi che il ransomware sia eseguito ad ogni riavvio del sistema e acquisisca privilegi di SYSTEM. Usano l’eseguibile nativo schtasks.exe per evitare di introdurre strumenti di terze parti. Prima, creano un “UpdateTask” che esegue un payload di ransomware di prova, quindi creano e eseguono immediatamente un “ElevateTask” che genera un processo privilegiato per proseguire la catena di infezione. Entrambi i compiti sono collocati sotto lo namespace Mozilla per imitare il noto pattern di Payouts King. Crea UpdateTask:

    1. Create UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

    2. Crea ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

    3. Esegui immediatamente ElevateTask:

      schtasks.exe /run /tn MozillaElevateTask

    4. (Opzionale) Verifica che i compiti esistano:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Queste righe di comando esatte corrispondono alle selezione1 and selezione2 clausole della regola Sigma, soddisfacendo la condizione: selezione1 e selezione2 e non esclusione.

  • Script di Test di Regressione:

    # Simulazione di Persistenza delle Attività Pianificate Payouts King
# -------------------------------------------------
# Passo 1: Crea l'UpdateTask (persistenza all'avvio)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

# Passo 2: Crea l'ElevateTask (aiuto di elevazione privilegi)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

# Passo 3: Esegui l'ElevateTask immediatamente per generare il secondo evento di rilevamento
schtasks.exe /run /tn MozillaElevateTask

# Passo 4: Output di conferma (non richiesto per rilevamento, per visibilità dell'operatore)
Write-Host "Compiti pianificati creati e ElevateTask eseguito."

  • Comandi di Pulizia:

    # Rimuovi i compiti creati per il test
schtasks.exe /delete /tn MozillaElevateTask /f
schtasks.exe /delete /tn MozillaUpdateTask /f

# Opzionalmente elimina il payload di prova
Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis