SOC Prime Bias: Critico

24 Jun 2026 06:53 UTC
newspaper icon picussecurity.com

Come il Ransomware Sinobi Cripta i File e Distrugge i Backup

Author Photo
SOC Prime Team linkedin icon Segui
Come il Ransomware Sinobi Cripta i File e Distrugge i Backup
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Riepilogo

Sinobi è un tipo di ransomware-as-a-service, probabilmente una versione rinnovata del ransomware Lynx, osservato per la prima volta a luglio 2025. Utilizza Curve25519 insieme ad AES-128-CTR per la crittografia dei file e applica tecniche avanzate di distruzione dei backup, incluso l’abuso di DeviceIoControl per rimuovere le copie shadow del volume. Il malware svuota anche il cestino e sfrutta l’API del Gestore Riavvii per chiudere i processi che tengono aperti i file bersaglio.

Investigazione

L’indagine ha descritto un’intrusione in cui un affiliato ha utilizzato credenziali rubate da un provider di servizi gestiti di terze parti per accedere a una VPN SSL SonicWall. Dopo essere entrato, l’attaccante ha scalato i privilegi creando un account amministratore locale e di dominio chiamato Assistenza. L’operatore ha quindi disabilitato i servizi di sicurezza modificando i percorsi dei binari e ha utilizzato RClone per esfiltrare dati prima di avviare la crittografia.

Mitigazione

I difensori dovrebbero mettere in sicurezza l’infrastruttura VPN con l’autenticazione a più fattori e esaminare attentamente l’accesso degli MSP di terze parti. Le organizzazioni dovrebbero anche monitorare la creazione non autorizzata di account amministrativi e le modifiche sospette alla configurazione dei servizi, soprattutto i percorsi binari alterati. Proteggere le copie shadow del volume e rilevare l’uso improprio dell’API del Gestore Riavvii può anche aiutare a interrompere la catena del ransomware.

Risposta

Se viene rilevata attività di Sinobi, i soccorritori dovrebbero immediatamente isolare gli account compromessi, in particolare gli account privilegiati come Assistenza. I processi non autorizzati dovrebbero essere terminati e tutte le modifiche ai servizi nel Gestore Controllo Servizi di Windows dovrebbero essere indagate. I backup offline dovrebbero essere verificati e preparati per il recupero, poiché Sinobi è progettato per distruggere le copie shadow online e il contenuto del cestino. RClone processes should be terminated, and all service changes in the Windows Service Control Manager should be investigated. Offline backups should be verified and prepared for recovery, since Sinobi is designed to destroy online shadow copies and Recycle Bin contents.

"graph TB %% Class Definitions Section classDef initial_access fill:#f96,stroke:#333,stroke-width:2px classDef escalation fill:#f9f,stroke:#333,stroke-width:2px classDef persistence fill:#bbf,stroke:#333,stroke-width:2px classDef defense_impairment fill:#dfd,stroke:#333,stroke-width:2px classDef collection fill:#ffd,stroke:#333,stroke-width:2px classDef impact fill:#f66,stroke:#333,stroke-width:2px %% Initial Access Section action_initial_access["<b>Azione</b> – <b>T1078 Account Validi</b><br/>L’attaccante utilizza credenziali rubate da un MSP di terze parti<br/>per autenticarsi tramite il dispositivo SonicWall SSL VPN."] class action_initial_access initial_access %% Privilege Escalation and Persistence Section action_priv_esc["<b>Azione</b> – <b>T1098.007 Manipolazione dell’Account: Gruppi Locali o di Dominio Aggiuntivi</b><br/>Creazione di un account amministrativo secondario chiamato Assistenza<br/>e promozione ai gruppi di amministratori locali e di dominio."] class action_priv_esc escalation action_persistence_power["<b>Azione</b> – <b>T1653 Impostazioni di Potenza</b><br/>Ridenominazione del percorso del servizio di sicurezza binario di Carbon Black<br/>per puntare al payload del ransomware e forzare il riavvio."] class action_persistence_power persistence %% Defense Impairment Section action_def_impair_tool["<b>Azione</b> – <b>T1685 Disabilitare o Modificare Strumenti</b><br/>Puntamento e disabilitazione di processi di sicurezza."] class action_def_impair_tool defense_impairment action_def_impair_svc["<b>Azione</b> – <b>T1489 Arresto del Servizio</b><br/>Arresto dei servizi SQL e Veeam per sbloccare i file per la crittografia."] class action_def_impair_svc defense_impairment %% Collection Section action_collection_rclone["<b>Azione</b> – <b>T1560.001 Archiviazione Dati Raccolti: Archiviazione tramite Utilità</b><br/>Utilizzo di rclone.exe per sincronizzare dati rilevanti per il business<br/>a una destinazione remota."] class action_collection_rclone collection %% Impact Section action_inhibit_recovery["<b>Azione</b> – <b>T1490 Inibizione del Recupero del Sistema</b><br/>Distruzione delle Copie Shadow del Volume tramite DeviceIoControl<br/>e svuotamento del Cestino tramite SHEmptyRecycleBinA."] class action_inhibit_recovery impact action_encryption["<b>Azione</b> – <b>T1486 Dati Crittografati per Impatto</b><br/>Crittografia utilizzando Curve-25519 e AES-128-CTR.<br/>File aggiunti con estensione .SINOBI.<br/>Rilascio della nota di riscatto README.txt."] class action_encryption impact %% Connections action_initial_access –>|porta a| action_priv_esc action_priv_esc –>|porta a| action_persistence_power action_persistence_power –>|abilita| action_def_impair_tool action_persistence_power –>|abilita| action_def_impair_svc action_def_impair_tool –>|precede| action_collection_rclone action_def_impair_svc –>|precede| action_collection_rclone action_collection_rclone –>|porta a| action_inhibit_recovery action_inhibit_recovery –>|porta a| action_encryption "

Flusso di Attacco

Esecuzione Simulazione

Prerequisito: Il Controllo Pre-volo di Telemetria e Baseline deve essere passato.

Razionale: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente le TTP identificate e mirare a generare l’esatta telemetria attesa dalla logica di rilevamento. Esempi astratti o non correlati porteranno a diagnosi errate.

  • Narrativa & Comandi di Attacco: L’avversario ha ottenuto l’accesso iniziale e sta ora eseguendo il payload del ransomware. Per massimizzare l’impatto e la richiesta, l’obiettivo dell’avversario è crittografare i documenti degli utenti e lasciare istruzioni. Lo script simulerà questo creando: 1) Un documento fittizio, 2) “Crittografandolo” rinominandolo in documento.pdf.SINOBI, 3) Scrivendo una nota di riscatto chiamata README.txt, e 4) Scrivendo un file contenente metadati specifici curve25519_pubkey per simulare il piè di pagina della crittografia del ransomware.

  • Script di Test di Regressione:

    # Script di Simulazione Sinobi Ransomware
$targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }

Write-Host "[+] Simulazione crittografia file in corso..."
$originalFile = "$targetDirimportant_data.pdf"
"Contenuto di Dati Sensibili" | Out-File -FilePath $originalFile

# Attiva selection_ext e selection_ransom
Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
"I TUOI FILE SONO CRITTOGRAFATI! PAGA BITCOIN A..." | Out-File -FilePath "$targetDirREADME.txt"

Write-Host "[+] Simulazione metadati crittografia (selection_footer)..."
# Attiva selection_footer
$metadataFile = "$targetDirmetadata.dat"
"Modalità_crittografia: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile

Write-Host "[!] Simulazione completata. Controlla SIEM per avvisi."

  • Comandi di Pulizia:

    Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
Write-Host "[+] Pulizia completata."

Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e aumentare immediatamente il valore, prenota ora un incontro con gli esperti di SOC Prime.

Iscriviti gratis