SOC Prime Bias: Alto

17 Apr 2026 14:40 UTC

Il Re delle Ricompense Punta al Trono del Ransomware

Author Photo
SOC Prime Team linkedin icon Segui
Il Re delle Ricompense Punta al Trono del Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Indagine

ThreatLabz ha analizzato diversi campioni di ransomware, invertendo le funzioni di hash personalizzate CRC e FNV1 utilizzate dal malware e identificando la persistenza attraverso compiti pianificati. I ricercatori hanno anche documentato il meccanismo di cifratura, le estensioni dei file mirate e il flusso di esecuzione complessivo. La loro analisi ha rivelato un elenco integrato di processi relativi alla sicurezza che il ransomware tenta di terminare utilizzando chiamate di sistema a basso livello prima che inizi la cifratura. Ulteriori indicatori, inclusi parametri da linea di comando e schemi di estensioni di file, sono stati estratti direttamente dai campioni per supportare gli sforzi di rilevamento e caccia.

Mitigazione

Le organizzazioni dovrebbero applicare l’autenticazione a più fattori, addestrare gli utenti a riconoscere i tentativi di ingegneria sociale e monitorare l’uso sospetto di strumenti come Microsoft Teams e Quick Assist. I difensori dovrebbero inoltre bloccare le estensioni di file note per essere correlate al ransomware e implementare rilevamenti endpoint in grado di identificare la creazione di compiti pianificati sotto il percorso Mozilla, così come le chiamate a SetFileInformationByHandle con FileRenameInfo. I backup offline dovrebbero essere mantenuti con regolarità, e le copie shadow dovrebbero essere protette per migliorare le opzioni di recupero in caso di cifratura.

Risposta

Se viene rilevata un’attività di Payouts King, isolare immediatamente il sistema colpito e raccogliere sia la memoria volatile che le immagini del disco per l’analisi forense. Gli investigatori dovrebbero esaminare i compiti pianificati alla ricerca di nomi come MozillaUpdateTask and MozillaElevateTask, quindi cercare gli argomenti della linea di comando CRC personalizzati e le estensioni uniche dei file criptati associate al malware. Il recupero dovrebbe concentrarsi sul ripristino dei dati da backup puliti verificati. I team di sicurezza dovrebbero inoltre inviare gli hash dei campioni identificati alle piattaforme di intelligence sulle minacce pertinenti per supportare il tracciamento e la difesa più ampia.

Flusso di Attacco

Esecuzione di Simulazione

Prerequisito: Il Controllo Pre‑volo di Telemetria & Baseline deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrazione DEVONO riflettere direttemente i TTP identificati e mirano a generare la telemetria esatta prevista dalla logica di rilevamento. Esempi astratti o non correlati portano a diagnosi errate.

  • Narrazione & Comandi di Attacco:

    L’attaccante, avendo ottenuto l’accesso iniziale, vuole assicurarsi che il ransomware sia eseguito ad ogni riavvio del sistema e acquisisca privilegi di SYSTEM. Usano l’eseguibile nativo schtasks.exe per evitare di introdurre strumenti di terze parti. Prima, creano un “UpdateTask” che esegue un payload di ransomware di prova, quindi creano e eseguono immediatamente un “ElevateTask” che genera un processo privilegiato per proseguire la catena di infezione. Entrambi i compiti sono collocati sotto lo namespace Mozilla per imitare il noto pattern di Payouts King. Crea UpdateTask:

    1. Create UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    2. Crea ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    3. Esegui immediatamente ElevateTask:

      schtasks.exe /run /tn MozillaElevateTask
    4. (Opzionale) Verifica che i compiti esistano:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Queste righe di comando esatte corrispondono alle selezione1 and selezione2 clausole della regola Sigma, soddisfacendo la condizione: selezione1 e selezione2 e non esclusione.

  • Script di Test di Regressione:

    # Simulazione di Persistenza delle Attività Pianificate Payouts King
    # -------------------------------------------------
    # Passo 1: Crea l'UpdateTask (persistenza all'avvio)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"
    
    # Passo 2: Crea l'ElevateTask (aiuto di elevazione privilegi)
    schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"
    
    # Passo 3: Esegui l'ElevateTask immediatamente per generare il secondo evento di rilevamento
    schtasks.exe /run /tn MozillaElevateTask
    
    # Passo 4: Output di conferma (non richiesto per rilevamento, per visibilità dell'operatore)
    Write-Host "Compiti pianificati creati e ElevateTask eseguito."
  • Comandi di Pulizia:

    # Rimuovi i compiti creati per il test
    schtasks.exe /delete /tn MozillaElevateTask /f
    schtasks.exe /delete /tn MozillaUpdateTask /f
    
    # Opzionalmente elimina il payload di prova
    Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue