Histoires de Rançongiciels : Volume V — Émulation des rançongiciels REvil, DarkSide et BlackMatter
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
Cet article couvre le cinquième volume de la série Ransom Tales d’AttackIQ, qui recrée les tactiques, techniques et procédures de trois familles de ransomwares notoires — REvil, DarkSide et BlackMatter. Chaque scénario parcourt les phases d’exécution, de persistance, de découverte, d’évasion des défenses et d’impact pour permettre aux défenseurs de valider les livres de jeu de détection et de réponse. Les émulations reproduisent les comportements emblématiques, tels que le détournement de l’ordre de recherche des DLL, l’abus de registre, les tâches planifiées pour la persistance, la suppression de copies de sauvegarde VSS, et le chiffrement fort des fichiers. L’article revisite également les intrusions majeures de la chaîne d’approvisionnement et suit l’évolution du ransomware en tant que service au fil du temps.
Analyse des Attaques Ransomware
L’équipe de recherche sur l’adversaire d’AttackIQ s’est appuyée sur des rapports de renseignement de menace publics et des échantillons de logiciels malveillants pour créer des graphes d’attaques réalistes pour chaque famille de ransomwares. Les chercheurs ont cartographié les étapes individuelles aux identifiants de techniques MITRE ATT&CK et ont conçu des chemins d’exécution qui récupèrent des charges utiles, établissent la persistance, énumèrent les informations hôte et domaine, et chiffrent les fichiers. L’équipe a également modélisé l’utilisation d’exploits CVE connus exploités par DarkSide pour l’accès initial. L’enquête souligne l’outillage partagé, l’infrastructure chevauchante et la réutilisation de code par les familles de ransomwares REvil, DarkSide, et BlackMatter.
Atténuation
Les actions d’atténuation recommandées se concentrent sur l’application du principe du moindre privilège, la désactivation des services non essentiels, et la correction rapide des systèmes exposés, y compris les vulnérabilités connues de VMware ESXi. Les équipes sont exhortées à restreindre l’accès distant au bureau, à surveiller de près les changements suspects de registre et les nouvelles tâches planifiées, et à déployer un contrôle d’application robuste. Les conseils insistent en outre sur le rôle des technologies de détection des endpoints et la vérification routinière des sauvegardes pour contenir le rayon d’impact des incidents de ransomware.
Réponse
Lorsque des activités de type ransomware sont détectées, les intervenants doivent immédiatement isoler les systèmes impactés, capturer la mémoire volatile, collecter les ruches de registre pertinentes et conserver les sources de logs. L’examen médico-légal doit analyser les copies fantômes, les tâches planifiées et les clés de registre pour détecter des signes de procédés de REvil, DarkSide, ou BlackMatter. La récupération implique de restaurer les données à partir de sauvegardes propres et validées et de traquer les tentatives de mouvement latéral en utilisant les identifiants SMB et LDAP. Enfin, les équipes doivent informer les parties prenantes, documenter l’incident, et enrichir les conclusions avec du renseignement de menace pour soutenir l’attribution et les améliorations défensives futures.
Flux d’attaque
Détections
Détecter la suppression des copies de l’ombre REvil et DarkSide [Création de processus Windows]
Voir
Détecter la manipulation du registre par REvil pour l’exécution et la persistance [Événement du registre Windows]
Voir
IOCs (HashSha256) à détecter : Ransom Tales : Volume V — Throwback Edition! Émulation de REvil, DarkSide, et BlackMatter Ransomware
Voir
Activité VSSADMIN Suspecte (via cmdline)
Voir
Points de persistance possibles [ASEPs – Ruche Software/NTUSER] (via registry_event)
Voir
Simulations
Exécution de la simulation
Prérequis : Le contrôle pré-vol télémétrique et de base doit avoir réussi.
Raisonnement : Cette section détaille l’exécution précise de la technique de l’adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le narratif doivent refléter directement les TTPs identifiés et viser à générer la télémétrie exacte attendue par la logique de détection.
-
Narration de l’attaque & Commandes :
L’opérateur REvil cible la machine de la victime pour garantir que la charge utile du ransomware se lance automatiquement après un redémarrage. En utilisant un chargeur PowerShell, l’attaquant crée trois modifications de registre que la règle surveille :- Créer une clé trompeuse “BlackLivesMatter” sous la branche Wow6432Node – un indicateur connu de REvil.
- Activer AutoAdminLogon pour forcer la connexion automatique d’un compte privilégié après redémarrage, facilitant l’exécution du ransomware.
- Ajouter une charge utile à la clé RunOnce pour que l’exécutable malveillant fonctionne une fois au démarrage du système.
Les trois actions sont effectuées avec des droits élevés, générant des entrées Security Event ID 13 qui correspondent au filtre
de sélectionde la règle Sigma. -
Script de test de régression :
# ------------------------------------------------- # Simulation de manipulation du registre REvil (TC-20251114-3Z7XQ) # ------------------------------------------------- # 1. Clé BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. Activation AutoAdminLogon $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. Persistance RunOnce pour la charge utile $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "Simulation de registre REvil terminée. Vérifiez les alertes dans le SIEM." -
Commandes de nettoyage :
# ------------------------------------------------- # Nettoyage des artefacts de simulation du registre REvil # ------------------------------------------------- # Supprimer la clé BlackLivesMatter Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # Réinitialiser AutoAdminLogon (réglé sur 0 ou supprimer) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # Supprimer l'entrée RunOnce Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "Nettoyage terminé."