SOC Prime Bias: Crítico

20 Nov 2025 15:32 UTC

Histórias de Resgate: Volume V — Emulando Ransomware REvil, DarkSide, e BlackMatter

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Histórias de Resgate: Volume V — Emulando Ransomware REvil, DarkSide, e BlackMatter
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

Este artigo aborda o quinto volume da série Ransom Tales da AttackIQ, que recria as táticas, técnicas e procedimentos de três famílias notórias de ransomware—REvil, DarkSide e BlackMatter. Cada cenário percorre as etapas de execução, persistência, descoberta, evasão de defesa e impacto para permitir que os defensores validem livros de estratégias de detecção e resposta. As emulações reproduzem comportamentos característicos, como sequestro da ordem de busca de DLLs, abuso de registro, tarefas agendadas para persistência, exclusão de cópias de sombra do VSS e criptografia forte de arquivos. A peça também revisita grandes intrusões na cadeia de suprimentos e acompanha como o ransomware como serviço amadureceu ao longo do tempo.

Análise de Ataque de Ransomware

A equipe de pesquisa de adversários da AttackIQ baseou-se em relatórios de inteligência de ameaças públicas e amostras de malware para criar gráficos de ataque realistas para cada família de ransomware. Os pesquisadores mapearam etapas individuais para os IDs de técnica MITRE ATT&CK e projetaram caminhos de execução que recuperam cargas úteis, estabelecem persistência, enumeram informações de host e domínio, e criptografam arquivos. A equipe também modelou o uso de exploits de CVEs conhecidos explorados pelo DarkSide para acesso inicial. A investigação destaca ferramentas compartilhadas, infraestruturas sobrepostas e reutilização de código pelas famílias de ransomware REvil, DarkSide e BlackMatter.

Mitigação

As ações de mitigação recomendadas se concentram em reforçar o princípio do menor privilégio, desativar serviços não essenciais e corrigir rapidamente sistemas expostos, incluindo vulnerabilidades conhecidas do VMware ESXi. As equipes são instadas a restringir o acesso remoto à área de trabalho, monitorar de perto mudanças suspeitas no registro e novas tarefas agendadas criadas, e implantar um controle robusto de aplicativos. As orientações ainda enfatizam o papel das tecnologias de detecção em endpoints e a verificação rotineira de backups para conter o raio de explosão dos incidentes de ransomware.

Resposta

Quando atividade no estilo ransomware for detectada, os respondedores devem isolar imediatamente os sistemas impactados, capturar memória volátil, coletar hives relevantes do registro e preservar as fontes de log. A revisão forense deve examinar cópias de sombra, tarefas agendadas e chaves de registro para sinais das táticas do REvil, DarkSide ou BlackMatter. A recuperação envolve restaurar dados de backups limpos e validados e buscar tentativas de movimento lateral usando credenciais SMB e LDAP. Finalmente, as equipes devem informar as partes interessadas, documentar o incidente e enriquecer os achados com inteligência de ameaças para apoiar a atribuição e melhorias defensivas futuras.

Fluxo de Ataque

Simulações

Execução da Simulação

Pré-requisito: A Verificação Prévia de Telemetria & Baseline deve ter sido aprovada.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar exatamente a telemetria esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    O operador REvil visa a máquina da vítima para garantir que a carga útil do ransomware seja lançada automaticamente após uma reinicialização. Usando um dropper PowerShell, o atacante cria três modificações no registro que a regra monitora:

    1. Criar uma chave “BlackLivesMatter” enganosa sob o ramo Wow6432Node – um indicador conhecido do REvil.
    2. Habilitar AutoAdminLogon para forçar o logon automático de uma conta privilegiada após a reinicialização, facilitando a execução do ransomware.
    3. Adicionar uma carga útil à chave RunOnce para que o executável malicioso seja executado uma vez no início do sistema.

    Todas as três ações são realizadas com direitos elevados, gerando entradas Security Event ID 13 que coincidem com a seleção do filtro da regra Sigma.

  • Script de Teste de Regressão:

    # -------------------------------------------------
    # Simulação de Manipulação de Registro REvil (TC-20251114-3Z7XQ)
    # -------------------------------------------------
    # 1. Chave BlackLivesMatter (HKLMSOFTWAREWOW6432NodeBlackLivesMatter)
    $blmKey = 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter'
    New-Item -Path $blmKey -Force | Out-Null
    New-ItemProperty -Path $blmKey -Name 'Command' -Value 'C:Temprevil_payload.exe' -PropertyType String -Force
    
    # 2. Ativação do AutoAdminLogon
    $autoAdminKey = 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon'
    Set-ItemProperty -Path $autoAdminKey -Name 'AutoAdminLogon' -Value '1' -Force
    
    # 3. Persistência do RunOnce para a carga útil
    $runOnceKey = 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce'
    New-Item -Path $runOnceKey -Force | Out-Null
    New-ItemProperty -Path $runOnceKey -Name 'RevilStart' -Value 'C:Temprevil_payload.exe /quiet' -PropertyType String -Force
    
    Write-Host "Simulação de registro REvil concluída. Verifique alertas no SIEM."
  • Comandos de Limpeza:

    # -------------------------------------------------
    # Limpeza de Artefatos de Simulação de Registro REvil
    # -------------------------------------------------
    # Remover chave BlackLivesMatter
    Remove-Item -Path 'HKLM:SOFTWAREWOW6432NodeBlackLivesMatter' -Recurse -Force -ErrorAction SilentlyContinue
    
    # Redefinir AutoAdminLogon (definir para 0 ou remover)
    Set-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon' `
        -Name 'AutoAdminLogon' -Value '0' -Force
    
    # Remover entrada RunOnce
    Remove-ItemProperty -Path 'HKLM:SOFTWAREMicrosoftWindowsCurrentVersionRunOnce' `
        -Name 'RevilStart' -Force -ErrorAction SilentlyContinue
    
    Write-Host "Limpeza concluída."