SOC Prime Bias: Crítico

24 Jun 2026 06:53 UTC
newspaper icon picussecurity.com

Cómo el ransomware Sinobi cifra archivos y destruye copias de seguridad

Author Photo
SOC Prime Team linkedin icon Seguir
Cómo el ransomware Sinobi cifra archivos y destruye copias de seguridad
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Sinobi es una variante de ransomware como servicio, probablemente una versión renombrada del ransomware Lynx, observada por primera vez en julio de 2025. Utiliza Curve25519 en conjunto con AES-128-CTR para la encriptación de archivos y aplica técnicas avanzadas de destrucción de copias de seguridad, incluido el uso indebido de DeviceIoControl para eliminar las Copias de Seguridad de Volumen. El malware también vacía la Papelera de Reciclaje y aprovecha la API del Administrador de Reinicio para cerrar procesos que mantienen abiertos los archivos objetivo.

Investigación

La investigación describió una intrusión en la que un afiliado utilizó credenciales robadas de un proveedor de servicios gestionados de terceros para acceder a un VPN SSL de SonicWall. Después de obtener la entrada, el atacante escaló privilegios creando una cuenta de administrador local y de dominio denominada Asistencia. Luego, el operador desactivó los servicios de seguridad cambiando las rutas binarias y utilizó RClone para exfiltrar datos antes de iniciar la encriptación.

Mitigación

Los defensores deben asegurar la infraestructura de VPN con autenticación de múltiples factores y revisar cuidadosamente el acceso de los MSP de terceros. Las organizaciones también deben monitorear la creación no autorizada de cuentas administrativas y cambios sospechosos en la configuración del servicio, especialmente las rutas binarias alteradas. Proteger las Copias de Seguridad de Volumen y detectar el mal uso de la API del Administrador de Reinicio también puede ayudar a interrumpir la cadena de ransomware.

Respuesta

Si se detecta actividad de Sinobi, los respondedores deben aislar inmediatamente las cuentas comprometidas, especialmente las cuentas privilegiadas como Asistencia. Los RClone procesos no autorizados deben ser terminados, y todos los cambios de servicio en el Administrador de Control de Servicios de Windows deben ser investigados. Las copias de seguridad sin conexión deben ser verificadas y preparadas para la recuperación, ya que Sinobi está diseñado para destruir copias de seguridad en línea y el contenido de la Papelera de Reciclaje.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Acción</b> – <b>T1078 Cuentas Válidas</b><br/>El atacante utiliza credenciales robadas de un MSP de terceros<br/>para autenticarse a través del dispositivo VPN SSL de SonicWall."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Acción</b> – <b>T1098.007 Manipulación de Cuentas: Grupos Locales o de Dominio Adicionales</b><br/>Creación de una cuenta administrativa secundaria denominada Asistencia<br/>y promoción a grupos de administradores locales y de dominio."] class action_priv_esc escalation action_persistence_power["<b>Acción</b> – <b>T1653 Configuraciones de Energía</b><br/>Reescribir la ruta binaria del servicio de seguridad de Carbon Black<br/>para señalar la carga útil del ransomware y forzar el reinicio."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Acción</b> – <b>T1685 Desactivar o Modificar Herramientas</b><br/>Apuntando y desactivando procesos de seguridad."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Acción</b> – <b>T1489 Detener Servicio</b><br/>Detener servicios de SQL y Veeam para desbloquear archivos para la encriptación."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Acción</b> – <b>T1560.001 Archivar Datos Recogidos: Archivar mediante Utilidad</b><br/>Usando rclone.exe para sincronizar datos relevantes para los negocios<br/>a un destino remoto."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Acción</b> – <b>T1490 Inhibir la Recuperación del Sistema</b><br/>Destrucción de Copias de Seguridad de Volumen mediante DeviceIoControl<br/>y vaciando la Papelera de Reciclaje a través de SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Acción</b> – <b>T1486 Datos Encriptados para Impacto</b><br/>Encriptación usando Curve-25519 y AES-128-CTR.<br/>Archivos añadidos con la extensión .SINOBI.<br/>Nota de rescate README.txt caída."] class action_encryption impact %% Connections action_initial_access –>|leads_to| action_priv_esc action_priv_esc –>|leads_to| action_persistence_power action_persistence_power –>|enables| action_def_impair_tool action_persistence_power –>|enables| action_def_impair_svc action_def_impair_tool –>|precedes| action_collection_rclone action_def_impair_svc –>|precedes| action_collection_rclone action_collection_rclone –>|leads_to| action_inhibit_recovery action_inhibit_recovery –>|leads_to| action_encryption "

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Comprobación Previa de Telemétrico y Línea Base debe haber pasado.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y buscar generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.

  • Narrativa de Ataque y Comandos: El adversario ha conseguido acceso inicial y ahora está ejecutando la carga útil del ransomware. Para maximizar el impacto y la demanda, el objetivo del adversario es encriptar documentos de usuario y dejar instrucciones. El script simulará esto al: 1) Crear un documento ficticio, 2) «Encriptarlo» renombrándolo a document.pdf.SINOBI, 3) Escribir una nota de rescate llamada README.txt, y 4) Escribir un archivo que contenga los metadatos específicos curve25519_pubkey para simular el pie de página de encriptación del ransomware.

  • Script de Prueba de Regresión:

    # Simulación de Sinobi Ransomware
$targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }

Write-Host "[+] Simulando la encriptación de archivos..."
$originalFile = "$targetDirimportant_data.pdf"
"Contenido de Datos Sensibles" | Out-File -FilePath $originalFile

# Desencadenar selection_ext y selection_ransom
Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
"¡TUS ARCHIVOS ESTÁN ENCRIPTADOS! PAGA BITCOIN A..." | Out-File -FilePath "$targetDirREADME.txt"

Write-Host "[+] Simulando metadatos de encriptación (selection_footer)..."
# Desencadenar selection_footer
$metadataFile = "$targetDirmetadata.dat"
"modo_encriptación: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile

Write-Host "[!] Simulación Completa. Consulte SIEM para alertas."

  • Comandos de Limpieza:

    Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
Write-Host "[+] Limpieza completada."

Únete a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para tu negocio. Para ayudarte a comenzar y obtener valor inmediato, programa una reunión ahora con los expertos de SOC Prime.

Únete gratis