SOC Prime Bias: Alto

17 Abr 2026 17:40
newspaper icon Relatório de Ransomware ThreatLabz

O Rei dos Pagamentos Mira o Trono do Ransomware

Author Photo
SOC Prime Team linkedin icon Seguir
O Rei dos Pagamentos Mira o Trono do Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Investigação

ThreatLabz analisou várias amostras de ransomware, revertendo as funções hash CRC e FNV1 personalizadas utilizadas pelo malware e identificando a persistência através de tarefas agendadas. Os pesquisadores também documentaram o esquema de criptografia, as extensões de arquivo alvo e o fluxo geral de execução. Sua análise revelou uma lista interna de processos relacionados à segurança que o ransomware tenta terminar usando chamadas de sistema de baixo nível antes de iniciar a criptografia. Indicadores adicionais, incluindo parâmetros de linha de comando e padrões de extensão de arquivo, foram extraídos diretamente das amostras para apoiar os esforços de detecção e caçada.

Mitigação

As organizações devem impor autenticação multifatorial, treinar usuários para reconhecer tentativas de engenharia social e monitorar o uso suspeito de ferramentas como Microsoft Teams e Quick Assist. Os defensores também devem bloquear extensões de arquivo conhecidas relacionadas a ransomware e implantar detecções em endpoints capazes de identificar a criação de tarefas agendadas sob o caminho Mozilla, bem como chamadas para SetFileInformationByHandle com FileRenameInfo. Backups offline devem ser mantidos regularmente, e cópias sombra devem ser protegidas para melhorar as opções de recuperação em caso de criptografia.

Resposta

Se atividade do Payouts King for detectada, isole imediatamente o sistema afetado e colete tanto a memória volátil quanto imagens de disco para análise forense. Os investigadores devem revisar tarefas agendadas para nomes como MozillaUpdateTask and MozillaElevateTask, depois procurar pelos argumentos de linha de comando protegidos por CRC personalizados e as extensões de arquivo criptografadas únicas associadas ao malware. A recuperação deve se focar em restaurar dados de backups limpos e verificados. As equipes de segurança também devem enviar os hashes das amostras identificadas para plataformas relevantes de inteligência de ameaças para apoiar o rastreamento e defesa mais amplo.

graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef tool fill:#cccccc classDef malware fill:#ff9999 classDef credential fill:#ffccff classDef operator fill:#ff9900 action_phishing[“<b>Ação</b> – T1566.001 Phishing: anexo de spearphishing<br/><b>Descrição</b>: Email com anexo malicioso disfarçado de IT.<br/><b>ID técnica</b>: T1566.001”] class action_phishing action action_user_exec[“<b>Ação</b> – T1204.002 Execução do usuário<br/><b>Descrição</b>: Usuário abre o arquivo e executa ransomware.<br/><b>ID técnica</b>: T1204.002”] class action_user_exec action tool_malicious_file[“<b>Ferramenta</b> – Arquivo payload malicioso<br/><b>Descrição</b>: Executável via phishing.<br/><b>Tipo</b>: .exe ou script”] class tool_malicious_file tool process_cmd_shell[“<b>Processo</b> – T1059.003 Windows Command Shell<br/><b>Descrição</b>: cmd.exe usado pelo ransomware.<br/><b>ID técnica</b>: T1059.003”] class process_cmd_shell process action_scheduled_task[“<b>Ação</b> – T1053 Tarefa agendada<br/><b>Descrição</b>: Cria \Mozilla\UpdateTask.<br/><b>ID técnica</b>: T1053”] class action_scheduled_task action action_elevate_task[“<b>Ação</b> – T1546 Execução por eventos<br/><b>Descrição</b>: Executa ransomware como SYSTEM.<br/><b>ID técnica</b>: T1546”] class action_elevate_task action defense_obfuscation_dynapi[“<b>Evasão</b> – T1027.007 Resolução dinâmica de API<br/><b>Descrição</b>: Hash de APIs com CRC/FNV1.<br/><b>ID técnica</b>: T1027.007”] class defense_obfuscation_dynapi malware defense_evasion_process_kill[“<b>Evasão</b> – T1564.011 Ignorar interrupções de processo<br/><b>Descrição</b>: Finaliza AV via syscalls.<br/><b>ID técnica</b>: T1564.011”] class defense_evasion_process_kill malware defense_obfuscation_general[“<b>Evasão</b> – T1027 Arquivos ofuscados<br/><b>Descrição</b>: Strings em stack e criptografia.<br/><b>ID técnica</b>: T1027”] class defense_obfuscation_general malware impact_encrypt_files[“<b>Impacto</b> – T1560.003 Criptografia personalizada<br/><b>Descrição</b>: AES-256-CTR + RSA-4096.<br/><b>ID técnica</b>: T1560.003”] class impact_encrypt_files malware impact_delete_shadows[“<b>Impacto</b> – T1006 Exclusão de shadow copies<br/><b>Descrição</b>: Remove backups via vssadmin.<br/><b>ID técnica</b>: T1006”] class impact_delete_shadows malware impact_clear_logs[“<b>Impacto</b> – T1070.001 Limpeza de logs<br/><b>Descrição</b>: Apaga eventos com EvtClearLog.<br/><b>ID técnica</b>: T1070.001”] class impact_clear_logs malware credential_private_key[“<b>Credencial</b> – T1552.004 Chaves privadas<br/><b>Descrição</b>: RSA protege chaves AES.<br/><b>ID técnica</b>: T1552.004”] class credential_private_key credential action_phishing –>|leva a| action_user_exec action_user_exec –>|executa| tool_malicious_file tool_malicious_file –>|executa| process_cmd_shell process_cmd_shell –>|cria| action_scheduled_task action_scheduled_task –>|cria| action_elevate_task action_elevate_task –>|ativa| defense_obfuscation_dynapi action_elevate_task –>|ativa| defense_evasion_process_kill action_elevate_task –>|ativa| defense_obfuscation_general defense_obfuscation_dynapi –>|suporta| impact_encrypt_files defense_evasion_process_kill –>|suporta| impact_encrypt_files defense_obfuscation_general –>|suporta| impact_encrypt_files impact_encrypt_files –>|usa| credential_private_key impact_encrypt_files –>|causa| impact_delete_shadows impact_encrypt_files –>|causa| impact_clear_logs

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Check de Pré-voo de Telemetria e Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e têm como objetivo gerar a telemetria exata esperada pela lógica de detecção. Exemplos abstratos ou não relacionados levarão a diagnósticos incorretos.

  • Narrativa do Ataque & Comandos:

    O atacante, tendo obtido o acesso inicial, quer garantir que o ransomware execute em cada reinicialização do sistema e obtenha privilégios de SISTEMA. Eles usam o binário schtasks.exe nativo para evitar introduzir ferramentas de terceiros. Primeiro, eles criam um “UpdateTask” que executa um payload de ransomware falso, em seguida, imediatamente criam e executam um “ElevateTask” que gera um processo privilegiado para avançar a cadeia de infecção. Ambas as tarefas são colocadas sob o namespace Mozilla para imitar o padrão conhecido do Payouts King.

    1. Criar UpdateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

    2. Criar ElevateTask:

      schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

    3. Executar ElevateTask imediatamente:

      schtasks.exe /run /tn MozillaElevateTask

    4. (Opcional) Verificar se as tarefas existem:

      schtasks.exe /query /tn Mozilla* /fo LIST /v

    Essas linhas de comando exatas correspondem às seleção1 and seleção2 cláusulas da regra Sigma, satisfazendo a condição: seleção1 e seleção2 e não exclusão.

  • Script de Teste de Regressão:

    # Simulação de Persistência de Tarefa Agendada Payouts King
# -------------------------------------------------
# Etapa 1: Criar o UpdateTask (persistência ao inicializar)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaUpdateTask /TR "cmd.exe /c start C:Temppayouts_king.exe"

# Etapa 2: Criar o ElevateTask (auxiliar de escalonamento de privilégios)
schtasks.exe /s "localhost" /ru "SYSTEM" /create /f /sc ONSTART /TN MozillaElevateTask /TR "cmd.exe /c whoami && net localgroup administrators /add attacker"

# Etapa 3: Execute o ElevateTask imediatamente para gerar o segundo evento de detecção
schtasks.exe /run /tn MozillaElevateTask

# Etapa 4: Confirmação de saída (não é necessário para detecção, para visibilidade do operador)
Write-Host "Tarefas agendadas criadas e ElevateTask executado."

  • Comandos de Limpeza:

    # Remova as tarefas criadas para o teste
schtasks.exe /delete /tn MozillaElevateTask /f
schtasks.exe /delete /tn MozillaUpdateTask /f

# Opcionalmente apague o payload fictício
Remove-Item -Path "C:Temppayouts_king.exe" -ErrorAction SilentlyContinue

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente