SOC Prime Bias: Kritisch

20 Nov 2025 15:32 UTC

Ransom-Geschichten: Band V — Emulierung von REvil-, DarkSide- und BlackMatter-Ransomware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Ransom-Geschichten: Band V — Emulierung von REvil-, DarkSide- und BlackMatter-Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

Dieser Artikel behandelt den fünften Band der AttackIQ Ransom Tales-Serie, die die Taktiken, Techniken und Verfahren von drei berüchtigten Ransomware-Familien – REvil, DarkSide und BlackMatter – nachstellt. Jedes Szenario führt durch Ausführungs-, Persistenz-, Entdeckungs-, Abwehrvermeidungs- und Auswirkungsphasen, um Verteidiger in die Lage zu versetzen, Erkennungs- und Reaktionsdrehbücher zu validieren. Die Emulationen reproduzieren markante Verhaltensweisen, wie beispielsweise DLL-Suchreihenfolgeentführung, Registry-Missbrauch, geplante Aufgaben zur Persistenz, VSS-Schattenkopielöschung und starke kryptografische Dateiverschlüsselung. Der Beitrag beleuchtet auch große Lieferkettenintrusionen und verfolgt, wie sich Ransomware-as-a-Service im Laufe der Zeit entwickelt hat.

Ransomware Attack Analysis

Das Adversary Research Team von AttackIQ griff auf öffentliche Bedrohungs-Intelligenzberichte und Malware-Proben zurück, um realistische Angriffsgrafiken für jede Ransomware-Familie zu erstellen. Forscher ordneten einzelne Schritte MITRE ATT&CK Technik-IDs zu und entwarfen Ausführungspfade, die Nutzdaten abrufen, Persistenz einrichten, Host- und Domain-Informationen auflisten und Dateien verschlüsseln. Das Team modellierte auch die Verwendung bekannter CVE-Exploits, die von DarkSide für den ersten Zugriff genutzt wurden. Die Untersuchung unterstreicht gemeinsam genutzte Werkzeuge, überlagernde Infrastrukturen und Code-Wiederverwendung durch die REvil-, DarkSide- und BlackMatter-Ransomware-Familien.

Minderung

Empfohlene Minderungsmaßnahmen konzentrieren sich auf die Durchsetzung des Prinzips der geringsten Privilegien, das Deaktivieren nicht essenzieller Dienste und das schnelle Patchen exponierter Systeme, einschließlich bekannter VMware-ESXi-Schwachstellen. Es wird empfohlen, den Remote-Desktop-Zugang einzuschränken, verdächtige Registrierungsänderungen und neu erstellte geplante Aufgaben genau zu überwachen und robuste Anwendungssteuerung einzusetzen. Die Anleitung betont weiter die Rolle von Endpunkterkennungstechnologien und die routinemäßige Überprüfung von Backups zur Eindämmung des Schadensradius von Ransomware-Vorfällen.

Reaktion

Wenn Aktivitäten im Ransomware-Stil erkannt werden, sollten die Reaktionskräfte die betroffenen Systeme sofort isolieren, flüchtigen Speicher erfassen, relevante Registrierungszweige sammeln und Protokollquellen bewahren. Die forensische Überprüfung sollte Schattenkopien, geplante Aufgaben und Registrierungsschlüssel auf Anzeichen von REvil-, DarkSide- oder BlackMatter-Verfahren untersuchen. Die Wiederherstellung umfasst die Datenwiederherstellung aus sauberen, validierten Backups und die Suche nach späteralen Bewegungsversuchen mit SMB- und LDAP-Anmeldeinformationen. Schließlich sollten Teams Stakeholder informieren, den Vorfall dokumentieren und die Erkenntnisse mit Bedrohungs-Intelligenz anreichern, um die Attribution und zukünftige Verteidigungsverbesserungen zu unterstützen.

Angriffsfluss

Simulationen

Simulationsexekution

Voraussetzung: Der Telemetrie- & Basislinien-Vorkontrolltest muss bestanden sein.

Begründung: In diesem Abschnitt wird die präzise Ausführung der gegnerischen Technik (TTP) beschrieben, die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Der REvil-Betreiber zielt auf die Zielmaschine ab, um sicherzustellen, dass die Ransomware-Nutzlast nach einem Neustart automatisch startet. Mit einem PowerShell-Dropper erstellt der Angreifer drei Registry-Änderungen, die die Regel überwacht:

    1. Erstellt einen täuschenden „BlackLivesMatter“-Schlüssel unter dem Wow6432Node-Zweig – ein bekannter REvil-Indikator.
    2. Aktiviert AutoAdminLogon um die automatische Anmeldung eines privilegierten Kontos nach einem Neustart zu erzwingen, was die Ausführung von Ransomware erleichtert.
    3. Fügt der RunOnce-Schlüssel eine Nutzlast hinzu damit die bösartige ausführbare Datei einmal beim Systemstart ausgeführt wird.

    Alle drei Aktionen werden mit erhöhten Rechten durchgeführt, wodurch Sicherheitsevents ID 13-Einträge generiert werden, die den Sigma-Rules Auswahl Filter entsprechen.

  • Regressionstest-Skript:

    # -------------------------------------------------
    # Simulation der REvil-Registry-Manipulation (TC-20251114-3Z7XQ)
    # -------------------------------------------------
    # 1. BlackLivesMatter-Schlüssel (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
    $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
    New-Item -Path $blmKey -Force | Out-Null
    New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force
    
    # 2. Aktivierung des AutoAdminLogon
    $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
    Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force
    
    # 3. RunOnce Persistenz für die Nutzlast
    $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
    New-Item -Path $runOnceKey -Force | Out-Null
    New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force
    
    Write-Host "REvil-Registry-Simulation abgeschlossen. Überprüfen Sie die Warnungen im SIEM."
  • Bereinigungskommandos:

    # -------------------------------------------------
    # Bereinigen von REvil-Registry-Simulationsartefakten
    # -------------------------------------------------
    # Entfernen des BlackLivesMatter-Schlüssels
    Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue
    
    # Zurücksetzen des AutoAdminLogon (auf 0 setzen oder entfernen)
    Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
        -Name 'AutoAdminLogon' -Value '0' -Force
    
    # Entfernen des RunOnce-Eintrags
    Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
        -Name 'RevilStart' -Force -ErrorAction SilentlyContinue
    
    Write-Host "Bereinigung abgeschlossen."