Racconti di Ransom: Volume V — Emulazione dei Ransomware REvil, DarkSide e BlackMatter
Detection stack
- AIDR
- Alert
- ETL
- Query
Sintesi
Questo articolo copre il quinto volume della serie Ransom Tales di AttackIQ, che ricrea le tattiche, le tecniche e le procedure di tre famiglie di ransomware notorie: REvil, DarkSide e BlackMatter. Ciascuno scenario attraversa le fasi di esecuzione, persistenza, scoperta, evasione della difesa e impatto per consentire ai difensori di validare i playbook di rilevamento e risposta. Le emulazioni riproducono comportamenti distintivi, come il dirottamento dell’ordine di ricerca delle DLL, l’abuso del registro, i tasks pianificati per la persistenza, la cancellazione delle copie Shadow di VSS e la forte crittografia dei file. L’articolo rivisita anche intrusioni importanti nella catena di fornitura e traccia come il ransomware-as-a-service sia maturato nel tempo.
Analisi degli Attacchi Ransomware
Il Team di Ricerca sugli Avversari di AttackIQ ha utilizzato i rapporti di intelligence sulle minacce pubbliche e i campioni di malware per creare dei grafici di attacco realistici per ciascuna famiglia di ransomware. I ricercatori hanno mappato i singoli passaggi agli ID delle tecniche MITRE ATT&CK e progettato percorsi di esecuzione che recuperano payload, stabiliscono persistenza, enumerano informazioni di host e dominio, e cifrano file. Il team ha anche modellato l’uso di sfruttamenti CVE noti utilizzati da DarkSide per l’accesso iniziale. L’indagine sottolinea la strumentazione condivisa, l’infrastruttura sovrapposta e il riuso del codice da parte delle famiglie di ransomware REvil, DarkSide e BlackMatter.
Mitigazione
Le azioni di mitigazione consigliate si concentrano sull’applicazione del principio del minimo privilegio, la disabilitazione dei servizi non essenziali e la rapida applicazione di patch ai sistemi esposti, comprese le vulnerabilità note di VMware ESXi. Si esorta i team a limitare l’accesso tramite desktop remoto, monitorare attentamente modifiche sospette al registro e nuovi tasks pianificati, e a distribuire un controllo applicativo robusto. Le linee guida sottolineano ulteriormente il ruolo delle tecnologie di rilevamento degli endpoint e la verifica di routine dei backup per contenere il raggio d’esplosione degli incidenti ransomware.
Risposta
Quando viene rilevata un’attività in stile ransomware, i soccorritori dovrebbero immediatamente isolare i sistemi colpiti, catturare la memoria volatile, raccogliere gli hive del registro pertinenti e preservare le fonti di log. La revisione forense dovrebbe esaminare le copie shadow, i tasks pianificati e le chiavi di registro per i segnali delle tecniche di REvil, DarkSide o BlackMatter. Il recupero coinvolge il ripristino dei dati da backup puliti e convalidati e la ricerca di tentativi di movimento laterale utilizzando le credenziali SMB e LDAP. Infine, i team dovrebbero informare gli stakeholder, documentare l’incidente e arricchire i risultati con informazioni sulle minacce per supportare l’attribuzione e i miglioramenti difensivi futuri.
Flusso di Attacco
Rilevamenti
Rileva la Cancellazione delle Copie Shadow di REvil e DarkSide Ransomware [Creazione Processo Windows]
Visualizza
Rileva la Manipolazione del Registro di REvil Ransomware per Esecuzione e Persistenza [Evento Registro Windows]
Visualizza
IOC (HashSha256) per rilevare: Ransom Tales: Volume V — Edizione Ricordo! Emulazione di REvil, DarkSide e BlackMatter Ransomware
Visualizza
Attività Sospetta VSSADMIN (via cmdline)
Visualizza
Punti di Persistenza Possibili [ASEPs – Software/NTUSER Hive] (via registry_event)
Visualizza
Simulazioni
Esecuzione della Simulazione
Prerequisito: Il Controllo Pre-volo di Telemetria & Baseline deve essere superato.
Motivo: Questa sezione dettaglia l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e puntare a generare la telemetria esatta attesa dalla logica di rilevamento.
-
Narrazione & Comandi dell’Attacco:
L’operatore REvil prende di mira la macchina della vittima per garantire che il payload del ransomware si lanci automaticamente dopo un riavvio. Utilizzando un dropper PowerShell, l’attaccante crea tre modifiche al registro che la regola monitora:- Crea una chiave ingannevole “BlackLivesMatter” sotto il ramo Wow6432Node – un indicatore noto di REvil.
- Abilita AutoAdminLogon per forzare il logon automatico di un account privilegiato dopo il riavvio, facilitando l’esecuzione del ransomware.
- Aggiungi un payload alla chiave RunOnce così l’eseguibile dannoso viene eseguito una volta all’avvio del sistema.
Tutte e tre le azioni vengono eseguite con diritti elevati, generando voci di Security Event ID 13 che corrispondono al
filtrodi selezione della regola Sigma. -
Script di Test di Regressione:
# ------------------------------------------------- # Simulazione Manipolazione Registro REvil (TC-20251114-3Z7XQ) # ------------------------------------------------- # 1. Chiave BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter) $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' New-Item -Path $blmKey -Force | Out-Null New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force # 2. Attivazione AutoAdminLogon $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force # 3. Persistenza RunOnce per il payload $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' New-Item -Path $runOnceKey -Force | Out-Null New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force Write-Host "Simulazione registro REvil completata. Verificare gli avvisi nel SIEM." -
Comandi di Pulizia:
# ------------------------------------------------- # Pulizia degli Artefatti della Simulazione Registro REvil # ------------------------------------------------- # Rimuovi la chiave BlackLivesMatter Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue # Reimposta AutoAdminLogon (imposto a 0 o rimuovi) Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' ` -Name 'AutoAdminLogon' -Value '0' -Force # Rimuovi la voce RunOnce Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' ` -Name 'RevilStart' -Force -ErrorAction SilentlyContinue Write-Host "Pulizia completata."