SOC Prime Bias: Critique

24 Jun 2026 06:53 UTC
newspaper icon picussecurity.com

Comment le ransomware Sinobi crypte les fichiers et détruit les sauvegardes

Author Photo
SOC Prime Team linkedin icon Suivre
Comment le ransomware Sinobi crypte les fichiers et détruit les sauvegardes
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Résumé

Sinobi est une souche de ransomware-as-a-service, probablement une version rebrandée du ransomware Lynx, observée pour la première fois en juillet 2025. Il utilise Curve25519 en combinaison avec AES-128-CTR pour le chiffrement des fichiers et applique des techniques avancées de destruction de sauvegardes, y compris l’abus de DeviceIoControl pour supprimer les copies de l’ombre du volume. Le malware vide également la Corbeille et utilise l’API du Gestionnaire de Redémarrage pour fermer les processus qui gardent les fichiers cibles ouverts.

Investigation

L’enquête a décrit une intrusion dans laquelle un affilié a utilisé des identifiants volés d’un prestataire de services gérés tiers pour accéder à un VPN SSL SonicWall. Après avoir pris pied, l’attaquant a élevé ses privilèges en créant un compte administrateur local et de domaine nommé Assistance. L’opérateur a ensuite désactivé les services de sécurité en modifiant les chemins des exécutables et a utilisé RClone pour exfiltrer les données avant de lancer le chiffrement.

Atténuation

Les défenseurs devraient sécuriser l’infrastructure VPN avec une authentification multifactorielle et examiner de près l’accès des MSP tiers. Les organisations devraient également surveiller la création non autorisée de comptes administratifs et les modifications suspectes de configuration de services, notamment les chemins d’exécutables modifiés. Protéger les copies de l’ombre du volume et détecter l’abus de l’API du Gestionnaire de Redémarrage peuvent également aider à interrompre la chaîne du ransomware.

Réponse

Si une activité Sinobi est détectée, les intervenants doivent immédiatement isoler les comptes compromis, notamment les comptes privilégiés tels que Assistance. Les processus non autorisés RClone doivent être terminés, et toutes les modifications de services dans le Gestionnaire de contrôle des services Windows doivent être examinées. Les sauvegardes hors ligne doivent être vérifiées et prêtes pour une récupération, puisque Sinobi est conçu pour détruire les copies de l’ombre en ligne et le contenu de la Corbeille.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Action</b> – <b>T1078 Valid Accounts</b><br/>Attacker uses stolen credentials from a third-party MSP<br/>to authenticate via SonicWall SSL VPN appliance."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Action</b> – <b>T1098.007 Account Manipulation: Additional Local or Domain Groups</b><br/>Creation of secondary administrative account named Assistance<br/>and promotion to local and domain administrator groups."] class action_priv_esc escalation action_persistence_power["<b>Action</b> – <b>T1653 Power Settings</b><br/>Rewriting Carbon Black security service binary path<br/>to point to ransomware payload and forcing reboot."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Action</b> – <b>T1685 Disable or Modify Tools</b><br/>Targeting and disabling security processes."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Action</b> – <b>T1489 Service Stop</b><br/>Stopping SQL and Veeam services to unlock files for encryption."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Action</b> – <b>T1560.001 Archive Collected Data: Archive via Utility</b><br/>Using rclone.exe to sync business-relevant data<br/>to a remote destination."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Action</b> – <b>T1490 Inhibit System Recovery</b><br/>Destruction of Volume Shadow Copies via DeviceIoControl<br/>and emptying the Recycle Bin via SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Action</b> – <b>T1486 Data Encrypted for Impact</b><br/>Encryption using Curve-25519 and AES-128-CTR.<br/>Files appended with .SINOBI extension.<br/>Ransom note README.txt dropped."] class action_encryption impact %% Connections action_initial_access –>|leads_to| action_priv_esc action_priv_esc –>|leads_to| action_persistence_power action_persistence_power –>|enables| action_def_impair_tool action_persistence_power –>|enables| action_def_impair_svc action_def_impair_tool –>|precedes| action_collection_rclone action_def_impair_svc –>|precedes| action_collection_rclone action_collection_rclone –>|leads_to| action_inhibit_recovery action_inhibit_recovery –>|leads_to| action_encryption "

Flux d’attaque

Exécution de la simulation

Prérequis : Le contrôle télémetrie & baseline pré-vol doit avoir réussi.

Justification : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) destinée à déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et viser à générer exactement la télémétrie attendue par la logique de détection. Des exemples abstraits ou non liés entraîneront un diagnostic erroné.

  • Narration de l’attaque & Commandes : L’adversaire a obtenu l’accès initial et exécute maintenant la charge utile du ransomware. Pour maximiser l’impact et la demande, l’objectif de l’adversaire est de chiffrer les documents des utilisateurs et de laisser des instructions. Le script simulera cela en : 1) Créant un document fictif, 2) « Le chiffrant » en le renommant en document.pdf.SINOBI, 3) Écrivant une note de rançon nommée README.txt, et 4) Écrivant un fichier contenant les métadonnées spécifiques curve25519_pubkey pour simuler le pied de page de chiffrement du ransomware.

  • Script de test de régression :

    # Script de simulation de ransomware Sinobi
$targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }

Write-Host "[+] Simulation de chiffrement de fichiers..."
$originalFile = "$targetDirimportant_data.pdf"
"Contenu de données sensibles" | Out-File -FilePath $originalFile

# Trigger selection_ext and selection_ransom
Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
"VOS FICHIERS SONT CHIFFRÉS ! PAYEZ EN BITCOIN À..." | Out-File -FilePath "$targetDirREADME.txt"

Write-Host "[+] Simulation des métadonnées de chiffrement (selection_footer)..."
# Trigger selection_footer
$metadataFile = "$targetDirmetadata.dat"
"Encryption_mode: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile

Write-Host "[!] Simulation terminée. Vérifiez le SIEM pour les alertes."

  • Commandes de nettoyage :

    Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
Write-Host "[+] Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement