SOC Prime Bias: Crítico

24 Jun 2026 06:53 UTC
newspaper icon picussecurity.com

Como o Ransomware Sinobi Criptografa Arquivos e Destrói Backups

Author Photo
SOC Prime Team linkedin icon Seguir
Como o Ransomware Sinobi Criptografa Arquivos e Destrói Backups
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

Sinobi é uma cepa de ransomware como serviço, provavelmente uma versão rebatizada do ransomware Lynx, observado pela primeira vez em julho de 2025. Ele usa Curve25519 junto com AES-128-CTR para a criptografia de arquivos e aplica técnicas avançadas de destruição de backups, incluindo abuso de DeviceIoControl para remover Cópias de Sombra de Volume. O malware também esvazia a Lixeira e utiliza a API Restart Manager para fechar processos que mantêm arquivos alvo abertos.

Investigação

A investigação descreveu uma intrusão em que um afiliado usou credenciais roubadas de um provedor de serviços gerenciados terceirizado para acessar uma VPN SSL SonicWall. Após ganhar acesso, o invasor escalou privilégios criando uma conta de administrador local e de domínio nomeada Assistência. O operador então desativou serviços de segurança alterando caminhos binários e usou RClone para exfiltrar dados antes de iniciar a criptografia.

Mitigação

Os defensores devem proteger a infraestrutura de VPN com autenticação multifator e revisar de perto o acesso de MSPs terceirizados. As organizações também devem monitorar a criação não autorizada de contas administrativas e alterações suspeitas na configuração de serviços, especialmente caminhos binários alterados. Proteger Cópias de Sombra de Volume e detectar o uso indevido da API Restart Manager também pode ajudar a interromper a cadeia de ransomware.

Resposta

Se a atividade do Sinobi for detectada, os respondedores devem isolar imediatamente as contas comprometidas, especialmente contas privilegiadas como Assistência. Processos não autorizados RClone devem ser encerrados, e todas as alterações de serviço no Gerenciador de Controle de Serviços do Windows devem ser investigadas. Backups offline devem ser verificados e preparados para recuperação, já que o Sinobi é projetado para destruir cópias de sombra online e o conteúdo da Lixeira.

"graph TB %% Secção de Definições de Classe classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Secção de Acesso Inicial action_initial_access["<b>Ação</b> – <b>T1078 Contas Válidas</b><br/>O invasor usa credenciais roubadas de um MSP terceirizado<br/>para autenticar via dispositivo VPN SSL SonicWall."] class action_initial_access initial_access %% Secção de Escalação de Privilégios e Persistência action_priv_esc["<b>Ação</b> – <b>T1098.007 Manipulação de Contas: Grupos Adicionais Locais ou de Domínio</b><br/>Criação de uma conta administrativa secundária nomeada Assistência<br/>e promoção a grupos de administradores locais e de domínio."] class action_priv_esc escalation action_persistence_power["<b>Ação</b> – <b>T1653 Configurações de Energia</b><br/>Reescrevendo o caminho binário do serviço de segurança Carbon Black<br/>para apontar para a carga útil do ransomware e forçando a reinicialização."] class action_persistence_power persistence %% Secção de Impedimento de Defesa action_def_impair_tool["<b>Ação</b> – <b>T1685 Desabilitar ou Modificar Ferramentas</b><br/>Alvo e desativação de processos de segurança."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Ação</b> – <b>T1489 Parada de Serviço</b><br/>Parando os serviços SQL e Veeam para desbloquear arquivos para criptografia."] class action_def_impair_svc defense_impairment %% Secção de Coleta action_collection_rclone["<b>Ação</b> – <b>T1560.001 Arquivamento de Dados Coletados: Arquivo via Utilitário</b><br/>Usando rclone.exe para sincronizar dados relevantes para negócios<br/>para um destino remoto."] class action_collection_rclone collection %% Secção de Impacto action_inhibit_recovery["<b>Ação</b> – <b>T1490 Inibição de Recuperação do Sistema</b><br/>Destruição de Cópias de Sombra de Volume via DeviceIoControl<br/>e esvaziamento da Lixeira via SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Ação</b> – <b>T1486 Dados Criptografados para Impacto</b><br/>Criptografia usando Curve-25519 e AES-128-CTR.<br/>Arquivos anexados com extensão .SINOBI.<br/>Nota de resgate README.txt deixada."] class action_encryption impact %% Conexões action_initial_access –>|conduz a| action_priv_esc action_priv_esc –>|conduz a| action_persistence_power action_persistence_power –>|habilita| action_def_impair_tool action_persistence_power –>|habilita| action_def_impair_svc action_def_impair_tool –>|precede| action_collection_rclone action_def_impair_svc –>|precede| action_collection_rclone action_collection_rclone –>|conduz a| action_inhibit_recovery action_inhibit_recovery –>|conduz a| action_encryption "

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Linha de Base deve ter sido aprovado.

Racional: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visar gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a um diagnóstico incorreto.

  • Narrativa de Ataque & Comandos: O adversário obteve acesso inicial e está agora executando a carga útil do ransomware. Para maximizar impacto e demanda, o objetivo do adversário é criptografar documentos do usuário e deixar instruções. O script simulará isso por: 1) Criar um documento fictício, 2) “Criptografá-lo” renomeando-o para documento.pdf.SINOBI, 3) Escrever uma nota de resgate chamada README.txt, e 4) Escrever um arquivo contendo a metadados específicos curve25519_pubkey para simular o rodapé de criptografia do ransomware.

  • Script de Teste de Regressão:

    # Script de Simulação do Ransomware Sinobi
$targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }

Write-Host "[+] Simulando criptografia de arquivo..."
$originalFile = "$targetDirimportant_data.pdf"
"Conteúdo de Dados Sensíveis" | Out-File -FilePath $originalFile

# Acionar selection_ext e selection_ransom
Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
"SEUS ARQUIVOS ESTÃO CRIPTOGRAFADOS! PAGUE BITCOIN PARA..." | Out-File -FilePath "$targetDirREADME.txt"

Write-Host "[+] Simulando metadados de criptografia (selection_footer)..."
# Acionar selection_footer
$metadataFile = "$targetDirmetadata.dat"
"Encryption_mode: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile

Write-Host "[!] Simulação Completa. Verifique o SIEM para alertas."

  • Comandos de Limpeza:

    Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente