SOC Prime Bias: Kritisch

24 Jun 2026 06:53 UTC
newspaper icon picussecurity.com

Wie Sinobi-Ransomware Dateien verschlüsselt und Backups zerstört

Author Photo
SOC Prime Team linkedin icon Folgen
Wie Sinobi-Ransomware Dateien verschlüsselt und Backups zerstört
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Zusammenfassung

Sinobi ist eine Ransomware-as-a-Service-Variante, wahrscheinlich eine umbenannte Version der Lynx-Ransomware, die erstmals im Juli 2025 beobachtet wurde. Es verwendet Curve25519 zusammen mit AES-128-CTR zur Dateiverschlüsselung und setzt fortgeschrittene Techniken zur Zerstörung von Backups ein, einschließlich des Missbrauchs von DeviceIoControl um Volumenschattenkopien zu entfernen. Die Malware leert auch den Papierkorb und nutzt die Restart Manager API, um Prozesse zu beenden, die Zieldateien offenhalten.

Untersuchung

Die Untersuchung beschrieb einen Einbruch, bei dem ein Partner gestohlene Anmeldeinformationen eines Drittanbieter-Managed-Service-Providers verwendete, um auf ein SonicWall SSL VPN zuzugreifen. Nach dem Zugang eskalierte der Angreifer die Berechtigungen, indem er ein Konto eines lokalen und eines Domain-Administrators mit dem Namen Assistanceerstellte. Der Betreiber deaktivierte dann Sicherheitsdienste durch Änderung von Binärpfaden und verwendete RClone um Daten zu exfiltrieren, bevor die Verschlüsselung startete.

Minderung

Verteidiger sollten VPN-Infrastrukturen mit Multi-Faktor-Authentifizierung sichern und den Zugang von Drittanbieter-MSPs genau überprüfen. Organisationen sollten auch die unerlaubte Erstellung von Administratorkonten und verdächtige Dienstkonfigurationsänderungen überwachen, insbesondere veränderte Binärpfade. Der Schutz von Volumenschattenkopien und die Erkennung des Missbrauchs der Restart Manager API können ebenfalls helfen, die Ransomware-Kette zu unterbrechen.

Antwort

Wenn Sinobi-Aktivitäten erkannt werden, sollten die Verantwortlichen sofort kompromittierte Konten isolieren, insbesondere privilegierte Konten wie Assistance. Nicht autorisierte RClone Prozesse sollten beendet werden, und alle Dienständerungen im Windows Service Control Manager sollten untersucht werden. Offline-Backups sollten überprüft und für die Wiederherstellung vorbereitet werden, da Sinobi darauf ausgelegt ist, Online-Schattenkopien und Papierkorbinhalte zu zerstören.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Aktion</b> – <b>T1078 Gültige Konten</b><br/>Angreifer verwendet gestohlene Anmeldeinformationen eines Drittanbieter-MSPs<br/>um sich über ein SonicWall SSL VPN-Gerät zu authentifizieren."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Aktion</b> – <b>T1098.007 Kontenmanipulation: Zusätzliche lokale oder Domänengruppen</b><br/>Erstellung eines sekundären Administratorkontos mit dem Namen Assistance<br/>und Beförderung zu lokalen und Domänenadministratorgruppen."] class action_priv_esc escalation action_persistence_power["<b>Aktion</b> – <b>T1653 Energieeinstellungen</b><br/>Neuschreibung des Binärpfads des Carbon Black-Sicherheitsdienstes<br/>um auf die Ransomware-Nutzlast zu verweisen und einen Neustart zu erzwingen."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Aktion</b> – <b>T1685 Werkzeuge deaktivieren oder modifizieren</b><br/>Zielgerichtetes Angreifen und Deaktivieren von Sicherheitsprozessen."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Aktion</b> – <b>T1489 Dienststoppen</b><br/>Anhalten von SQL und Veeam-Diensten, um Dateien zum Verschlüsseln zu entsperren."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Aktion</b> – <b>T1560.001 Archive gesammelter Daten: Archivierung über Dienstprogramm</b><br/>Verwendung von rclone.exe, um geschäftsrelevante Daten<br/>an ein entferntes Ziel zu synchronisieren."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Aktion</b> – <b>T1490 Systemwiederherstellung verhindern</b><br/>Zerstörung von Volumenschattenkopien über DeviceIoControl<br/>und Leeren des Papierkorbs über SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Aktion</b> – <b>T1486 Daten für Impact verschlüsselt</b><br/>Verschlüsselung mit Curve-25519 und AES-128-CTR.<br/>Dateien, angehängt mit der .SINOBI-Erweiterung.<br/>Lösegeldnotiz README.txt hinzugefügt."] class action_encryption impact %% Connections action_initial_access –>|führt zu| action_priv_esc action_priv_esc –>|führt zu| action_persistence_power action_persistence_power –>|ermöglicht| action_def_impair_tool action_persistence_power –>|ermöglicht| action_def_impair_svc action_def_impair_tool –>|geht voraus| action_collection_rclone action_def_impair_svc –>|geht voraus| action_collection_rclone action_collection_rclone –>|führt zu| action_inhibit_recovery action_inhibit_recovery –>|führt zu| action_encryption "

Angriffsverlauf

Simulation Ausführung

Voraussetzung: Die Telemetrie- und Basislinie-Vorflugkontrolle muss bestanden haben.

Begründung: Dieser Abschnitt beschreibt die präzise Ausführung der gegnerischen Technik (TTP), die die Erkennungsregel auslösen soll. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und sollen die genaue Telemetrie generieren, die von der Erkennungslogik erwartet wird. Abstrakte oder nicht verwandte Beispiele führen zu einer Fehldiagnose.

  • Angriffserzählung & Befehle: Der Gegner hat sich den ersten Zugang verschafft und führt nun die Ransomware-Nutzlast aus. Um den größtmöglichen Einfluss und die Forderung zu maximieren, besteht das Ziel des Gegners darin, Benutzerdokumente zu verschlüsseln und Anweisungen zu hinterlassen. Das Skript wird dies simulieren durch: 1) Erstellen eines Dummy-Dokuments, 2) „Verschlüsseln“ durch Umbenennen in document.pdf.SINOBI, 3) Schreiben einer Lösegeldforderung mit dem Namen README.txt, und 4) Schreiben einer Datei mit den spezifischen Metadaten curve25519_pubkey um die Verschlüsselungsfußzeile der Ransomware zu simulieren.

  • Regressions-Testskript:

    # Sinobi-Ransomware-Simulationsskript
$targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }

Write-Host "[+] Simuliere Dateiverschlüsselung..."
$originalFile = "$targetDirimportant_data.pdf"
"Empfindlicher Dateninhalt" | Out-File -FilePath $originalFile

# Trigger selection_ext und selection_ransom
Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
"IHRE DATEIEN SIND VERSCHLUSSELT! BEZAHLEN SIE BITCOIN AN..." | Out-File -FilePath "$targetDirREADME.txt"

Write-Host "[+] Simuliere Verschlüsselungsmetadaten (selection_footer)..."
# Trigger selection_footer
$metadataFile = "$targetDirmetadata.dat"
"Encryption_mode: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile

Write-Host "[!] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme."

  • Bereinigungsbefehle:

    Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
Write-Host "[+] Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten