SOC Prime Bias: Crítico

20 Nov 2025 18:32
newspaper icon AttackIQ

Historias de Ransomware: Volumen V — Emulando REvil, DarkSide y BlackMatter

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Follow
Historias de Ransomware: Volumen V — Emulando REvil, DarkSide y BlackMatter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumen

Este artículo cubre el quinto volumen de la serie Ransom Tales de AttackIQ, que recrea las tácticas, técnicas y procedimientos de tres famosas familias de ransomware: REvil, DarkSide y BlackMatter. Cada escenario recorre las etapas de ejecución, persistencia, descubrimiento, evasión de defensas e impacto para permitir a los defensores validar playbooks de detección y respuesta. Las emulaciones reproducen comportamientos característicos, como el secuestro del orden de búsqueda de DLL, abuso del registro, tareas programadas para persistencia, eliminación de copias sombrías de VSS y fuerte cifrado criptográfico de archivos. La pieza también revisita intrusiones importantes en la cadena de suministro y rastrea cómo el ransomware-como-servicio ha madurado con el tiempo.

Ransomware Attack Analysis

El equipo de investigación de adversarios de AttackIQ se basó en informes de inteligencia de amenazas públicos y muestras de malware para crear gráficos de ataque realistas para cada familia de ransomware. Los investigadores mapearon pasos individuales a los IDs de técnicas de MITRE ATT&CK y diseñaron rutas de ejecución que recuperan cargas, establecen persistencia, enumeran información del host y dominio, y cifran archivos. El equipo también modeló el uso de exploits CVE conocidos aprovechados por DarkSide para el acceso inicial. La investigación subraya el uso de herramientas compartidas, infraestructura superpuesta y reutilización de código por las familias REvil, DarkSide y BlackMatter.

Mitigación

Las acciones de mitigación recomendadas se enfocan en hacer cumplir el principio del menor privilegio, deshabilitar servicios no esenciales y parchear rápidamente los sistemas expuestos, incluidas las vulnerabilidades conocidas de VMware ESXi. Se insta a los equipos a restringir el acceso remoto a escritorios, monitorear de cerca los cambios sospechosos en el registro y las tareas programadas recién creadas, y desplegar un control de aplicación robusto. La guía además enfatiza el papel de las tecnologías de detección en el endpoint y la verificación rutinaria de respaldos para contener el radio de explosión de los incidentes de ransomware.

Respuesta

Cuando se detecta actividad tipo ransomware, los respondedores deben inmediatamente aislar los sistemas impactados, capturar memoria volátil, recolectar colmenas relevantes del registro y preservar las fuentes de logs. La revisión forense debe examinar copias sombrías, tareas programadas y claves de registro en busca de signos de las técnicas de REvil, DarkSide o BlackMatter. La recuperación implica restaurar datos desde respaldos limpios y validados y cazar intentos de movimiento lateral utilizando credenciales SMB y LDAP. Finalmente, los equipos deben informar a las partes interesadas, documentar el incidente y enriquecer los hallazgos con inteligencia de amenazas para apoyar la atribución y mejoras defensivas futuras.

ngraph TB %% Class Definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb6c1 classDef process fill:#d9d9ff classDef operator fill:#ffeb99 %% Nodes – Ejecución inicial y configuración tech_initial_exec[«<b>Técnica</b> – <b>T1574.001 Secuestro del orden de búsqueda de DLL</b><br/>El malware carga un DLL malicioso secuestrando el orden de búsqueda de DLL de Windows.»] class tech_initial_exec technique tech_anti_analysis[«<b>Técnica</b> – <b>T1497 Evasión de virtualización/sandbox</b><br/>Llama a la API IsDebuggerPresent para detectar depuración o entornos sandbox.»] class tech_anti_analysis technique tech_registry_query[«<b>Técnica</b> – <b>T1012 Consulta del registro</b><br/>Crea HKLM\\SOFTWARE\\WOW6432Node\\BlackLivesMatter y consulta el valor MachineGUID para un identificador único del sistema.»] class tech_registry_query technique tech_persistence[«<b>Técnica</b> – <b>T1053 Tarea/Trabajo programado</b><br/>Establece una tarea programada usando la utilidad schtasks para persistencia.»] class tech_persistence technique tool_schtasks[«<b>Herramienta</b> – <b>Nombre</b>: schtasks<br/><b>Propósito</b>: Crear y gestionar tareas programadas»] class tool_schtasks tool %% Nodes – Fase de descubrimiento op_discovery((«Descubrimiento»)) class op_discovery operator tech_sys_info[«<b>Técnica</b> – <b>T1082 Descubrimiento de información del sistema</b><br/>Recopila detalles de OS y hardware vía GetSystemInfo.»] class tech_sys_info technique tech_user_discovery[«<b>Técnica</b> – <b>T1033 Descubrimiento del propietario/usuario del sistema</b><br/>Obtiene el nombre de usuario actual vía GetUserNameW.»] class tech_user_discovery technique tech_process_discovery[«<b>Técnica</b> – <b>T1057 Descubrimiento de procesos</b><br/>Enumera procesos en ejecución usando las APIs Toolhelp snapshot.»] class tech_process_discovery technique tech_service_discovery[«<b>Técnica</b> – <b>T1007 Descubrimiento de servicios del sistema</b><br/>Consulta servicios vía EnumServicesStatusW.»] class tech_service_discovery technique tech_file_dir_discovery[«<b>Técnica</b> – <b>T1083 Descubrimiento de archivos y directorios</b><br/>Recorre el sistema de archivos con FindFirstFileW / FindNextFileW.»] class tech_file_dir_discovery technique tech_software_discovery[«<b>Técnica</b> – <b>T1518 Descubrimiento de software</b><br/>Usa WMI (wmic) para listar antivirus, antispyware y firewall instalados.»] class tech_software_discovery technique tech_location_discovery[«<b>Técnica</b> – <b>T1614 Descubrimiento de ubicación del sistema</b><br/>Obtiene información de localización vía GetLocaleInfoW.»] class tech_location_discovery technique %% Nodes – Evasión de defensa op_defense_evasion((«Evasión de Defensa»)) class op_defense_evasion operator tech_impair_defenses[«<b>Técnica</b> – <b>T1562 Debilitar defensas</b><br/>Desactiva el firewall de Windows usando comandos netsh.»] class tech_impair_defenses technique tool_netsh[«<b>Herramienta</b> – <b>Nombre</b>: netsh<br/><b>Propósito</b>: Configurar y desactivar firewall de Windows»] class tool_netsh tool tech_inhibit_recovery[«<b>Técnica</b> – <b>T1490 Inhibir recuperación del sistema</b><br/>Elimina copias sombra con vssadmin, wmic y PowerShell.»] class tech_inhibit_recovery technique tool_vssadmin[«<b>Herramienta</b> – <b>Nombre</b>: vssadmin<br/><b>Propósito</b>: Eliminar copias sombra»] class tool_vssadmin tool tool_wmic[«<b>Herramienta</b> – <b>Nombre</b>: wmic<br/><b>Propósito</b>: Eliminar copias sombra vía WMI»] class tool_wmic tool tool_powershell[«<b>Herramienta</b> – <b>Nombre</b>: PowerShell<br/><b>Propósito</b>: Eliminar copias sombra vía Get-WMIObject»] class tool_powershell tool tech_clear_eventlogs[«<b>Técnica</b> – <b>T1070.001 Borrar registros de eventos de Windows</b><br/>Borra registros de eventos usando las APIs OpenEventLogW y ClearEventLogW.»] class tech_clear_eventlogs technique tool_eventlog[«<b>Herramienta</b> – <b>Nombre</b>: API de Windows<br/><b>Propósito</b>: Borrar registros de eventos de Windows»] class tool_eventlog tool %% Nodes – Impacto malware_ransom[«<b>Malware</b> – <b>Nombre</b>: DarkSide/REvil<br/><b>Impacto</b>: Cifra los archivos descubiertos en disco»] class malware_ransom malware node_files[«<b>Objetivo</b>: Archivos en disco»] class node_files process %% Connections – Flujo de Ejecución tech_initial_exec u002du002d>|conduce a| tech_anti_analysis tech_anti_analysis u002du002d>|conduce a| tech_registry_query tech_registry_query u002du002d>|habilita| tech_persistence tech_persistence u002du002d>|usa| tool_schtasks %% Connections – Flujo de Descubrimiento tech_initial_exec u002du002d>|desencadena| op_discovery op_discovery u002du002d>|usa| tech_sys_info op_discovery u002du002d>|usa| tech_user_discovery op_discovery u002du002d>|usa| tech_process_discovery op_discovery u002du002d>|usa| tech_service_discovery op_discovery u002du002d>|usa| tech_file_dir_discovery op_discovery u002du002d>|usa| tech_software_discovery op_discovery u002du002d>|usa| tech_location_discovery %% Connections – Flujo de Evasión de Defensa tech_initial_exec u002du002d>|prepara| op_defense_evasion op_defense_evasion u002du002d>|usa| tech_impair_defenses tech_impair_defenses u002du002d>|usa| tool_netsh op_defense_evasion u002du002d>|usa| tech_inhibit_recovery tech_inhibit_recovery u002du002d>|usa| tool_vssadmin tech_inhibit_recovery u002du002d>|usa| tool_wmic tech_inhibit_recovery u002du002d>|usa| tool_powershell op_defense_evasion u002du002d>|usa| tech_clear_eventlogs tech_clear_eventlogs u002du002d>|usa| tool_eventlog %% Connections – Flujo de Impacto op_discovery u002du002d>|proporciona datos a| malware_ransom op_defense_evasion u002du002d>|prepara el entorno para| malware_ransom malware_ransom u002du002d>|cifra| node_files %% Class assignments class tech_initial_exec,tech_anti_analysis,tech_registry_query,tech_persistence technique class tool_schtasks,tool_netsh,tool_vssadmin,tool_wmic,tool_powershell,tool_eventlog tool class tech_sys_info,tech_user_discovery,tech_process_discovery,tech_service_discovery,tech_file_dir_discovery,tech_software_discovery,tech_location_discovery,tech_impair_defenses,tech_inhibit_recovery,tech_clear_eventlogs technique class malware_ransom malware class node_files process class op_discovery,op_defense_evasion operator

Flujo de Ataque

Simulaciones

Ejecución de Simulación

Prerrequisito: La Verificación Previa de Telemetría y Línea Base debe haberse completado exitosamente.

Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa y Comandos de Ataque:
    El operador de REvil apunta a la máquina víctima para asegurar que la carga del ransomware se inicie automáticamente después de un reinicio. Usando un cargador de PowerShell, el atacante crea tres modificaciones del registro que la regla monitorea:

    1. Crear una clave engañosa “BlackLivesMatter” bajo la rama Wow6432Node – un indicador conocido de REvil.
    2. Habilitar AutoAdminLogon para forzar el inicio de sesión automático de una cuenta privilegiada después del reinicio, facilitando la ejecución del ransomware.
    3. Agregar una carga útil a la clave RunOnce para que el ejecutable malicioso se ejecute una vez al inicio del sistema.

    Las tres acciones se realizan con derechos elevados, generando entradas de Evento de Seguridad ID 13 que coinciden con el filtro de selección de la regla Sigma.

  • Script de Prueba de Regresión:

    # -------------------------------------------------
# Simulación de Manipulación del Registro de REvil (TC-20251114-3Z7XQ)
# -------------------------------------------------
# 1. Clave BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
$blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
New-Item -Path $blmKey -Force | Out-Null
New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force

# 2. Activación de AutoAdminLogon
$autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force

# 3. Persistencia RunOnce para la carga
$runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
New-Item -Path $runOnceKey -Force | Out-Null
New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force

Write-Host "Simulación de registro de REvil completada. Verifique alertas en SIEM."

  • Comandos de Limpieza:

    # -------------------------------------------------
# Limpieza de Artefactos de Simulación de Registro de REvil
# -------------------------------------------------
# Eliminar clave BlackLivesMatter
Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue

# Restablecer AutoAdminLogon (configurar en 0 o eliminar)
Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
    -Name 'AutoAdminLogon' -Value '0' -Force

# Eliminar entrada RunOnce
Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
    -Name 'RevilStart' -Force -ErrorAction SilentlyContinue

Write-Host "Limpieza completada."

Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.

Únase Gratis