Comment le ransomware Sinobi crypte les fichiers et détruit les sauvegardes
Suivre 
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Sinobi est une souche de ransomware-as-a-service, probablement une version rebrandée du ransomware Lynx, observée pour la première fois en juillet 2025. Il utilise Curve25519 en combinaison avec AES-128-CTR pour le chiffrement des fichiers et applique des techniques avancées de destruction de sauvegardes, y compris l’abus de DeviceIoControl pour supprimer les copies de l’ombre du volume. Le malware vide également la Corbeille et utilise l’API du Gestionnaire de Redémarrage pour fermer les processus qui gardent les fichiers cibles ouverts.
Investigation
L’enquête a décrit une intrusion dans laquelle un affilié a utilisé des identifiants volés d’un prestataire de services gérés tiers pour accéder à un VPN SSL SonicWall. Après avoir pris pied, l’attaquant a élevé ses privilèges en créant un compte administrateur local et de domaine nommé Assistance. L’opérateur a ensuite désactivé les services de sécurité en modifiant les chemins des exécutables et a utilisé RClone pour exfiltrer les données avant de lancer le chiffrement.
Atténuation
Les défenseurs devraient sécuriser l’infrastructure VPN avec une authentification multifactorielle et examiner de près l’accès des MSP tiers. Les organisations devraient également surveiller la création non autorisée de comptes administratifs et les modifications suspectes de configuration de services, notamment les chemins d’exécutables modifiés. Protéger les copies de l’ombre du volume et détecter l’abus de l’API du Gestionnaire de Redémarrage peuvent également aider à interrompre la chaîne du ransomware.
Réponse
Si une activité Sinobi est détectée, les intervenants doivent immédiatement isoler les comptes compromis, notamment les comptes privilégiés tels que Assistance. Les processus non autorisés RClone doivent être terminés, et toutes les modifications de services dans le Gestionnaire de contrôle des services Windows doivent être examinées. Les sauvegardes hors ligne doivent être vérifiées et prêtes pour une récupération, puisque Sinobi est conçu pour détruire les copies de l’ombre en ligne et le contenu de la Corbeille.
"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Action</b> – <b>T1078 Valid Accounts</b><br/>Attacker uses stolen credentials from a third-party MSP<br/>to authenticate via SonicWall SSL VPN appliance."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Action</b> – <b>T1098.007 Account Manipulation: Additional Local or Domain Groups</b><br/>Creation of secondary administrative account named Assistance<br/>and promotion to local and domain administrator groups."] class action_priv_esc escalation action_persistence_power["<b>Action</b> – <b>T1653 Power Settings</b><br/>Rewriting Carbon Black security service binary path<br/>to point to ransomware payload and forcing reboot."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Action</b> – <b>T1685 Disable or Modify Tools</b><br/>Targeting and disabling security processes."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Action</b> – <b>T1489 Service Stop</b><br/>Stopping SQL and Veeam services to unlock files for encryption."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Action</b> – <b>T1560.001 Archive Collected Data: Archive via Utility</b><br/>Using rclone.exe to sync business-relevant data<br/>to a remote destination."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Action</b> – <b>T1490 Inhibit System Recovery</b><br/>Destruction of Volume Shadow Copies via DeviceIoControl<br/>and emptying the Recycle Bin via SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encryption using Curve-25519 and AES-128-CTR.<br/>Files appended with .SINOBI extension.<br/>Ransom note README.txt dropped."] class action_encryption impact %% Connections action_initial_access –>|leads_to| action_priv_esc action_priv_esc –>|leads_to| action_persistence_power action_persistence_power –>|enables| action_def_impair_tool action_persistence_power –>|enables| action_def_impair_svc action_def_impair_tool –>|precedes| action_collection_rclone action_def_impair_svc –>|precedes| action_collection_rclone action_collection_rclone –>|leads_to| action_inhibit_recovery action_inhibit_recovery –>|leads_to| action_encryption "
Flux d’attaque
Détections
Ajouter un utilisateur aux administrateurs locaux (via cmdline)
Voir
Arrêt utilisé pour forcer un arrêt ou un redémarrage du système (via cmdline)
Voir
Exfiltration de données possible via l’outil Rclone (via cmdline)
Voir
Détection de l’exécution de commandes de ransomware Sinobi [Création de processus Windows]
Voir
Détection de l’activité du ransomware Sinobi [Événement de fichier Windows]
Voir
Exécution de la simulation
Prérequis : Le contrôle télémetrie & baseline pré-vol doit avoir réussi.
Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.
-
Narration de l’attaque & Commandes : L’adversaire a obtenu l’accès initial et exécute maintenant la charge utile du ransomware. Pour maximiser l’impact et la demande, l’objectif de l’adversaire est de chiffrer les documents des utilisateurs et de laisser des instructions. Le script simulera cela en : 1) Créant un document fictif, 2) « Le chiffrant » en le renommant en
document.pdf.SINOBI, 3) Écrivant une note de rançon nomméeREADME.txt, et 4) Écrivant un fichier contenant les métadonnées spécifiquescurve25519_pubkeypour simuler le pied de page de chiffrement du ransomware. -
Script de test de régression :
# Script de simulation de ransomware Sinobi $targetDir = "$env:USERPROFILEDesktopSinobi_Sim" if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory } Write-Host "[+] Simulation de chiffrement de fichiers..." $originalFile = "$targetDirimportant_data.pdf" "Contenu de données sensibles" | Out-File -FilePath $originalFile # Trigger selection_ext and selection_ransom Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI" "VOS FICHIERS SONT CHIFFRÉS ! PAYEZ EN BITCOIN À..." | Out-File -FilePath "$targetDirREADME.txt" Write-Host "[+] Simulation des métadonnées de chiffrement (selection_footer)..." # Trigger selection_footer $metadataFile = "$targetDirmetadata.dat" "Encryption_mode: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile Write-Host "[!] Simulation terminée. Vérifiez le SIEM pour les alertes." -
Commandes de nettoyage :
Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force Write-Host "[+] Nettoyage terminé."