Як Sinobi Ransomware шифрує файли і знищує резервні копії

Резюме

Sinobi – це програмне забезпечення для шифрування за схемою послуг, ймовірно, оновлена версія програмного забезпечення Lynx, вперше виявлена у липні 2025 року. Воно використовує Curve25519 разом з AES-128-CTR для шифрування файлів і застосовує передові техніки знищення резервних копій, зокрема зловживання DeviceIoControl для видалення копій тома Shadow. Шкідливе програмне забезпечення також спорожнює Корзину та використовує API Менеджера перезапуску для закриття процесів, які тримають відкритими цільові файли.

Розслідування

Розслідування описало вторгнення, в якому афілійована особа використала вкрадені облікові дані керованого постачальника послуг третьої сторони для доступу до SonicWall SSL VPN. Після отримання доступу нападник підвищив привілеї, створюючи локальний і доменний обліковий запис адміністратора з назвою Довідка. Оператор потім відключив служби безпеки, змінюючи шляхи до бінарних файлів, і використовував RClone для ексфільтрації даних перед запуском шифрування.

Усунення

Захисники повинні забезпечити інфраструктуру VPN багатофакторною аутентифікацією та уважно перевіряти доступ керованих постачальників послуг третьої сторони. Організації також мають контролювати несанкціоноване створення облікових записів адміністраторів та підозрілі зміни конфігурації служби, особливо змінені шляхи до бінарних файлів. Захист копій тома Shadow та виявлення зловживань API Менеджера перезапуску може також допомогти перервати ланцюг програм-вимагачів.

Реакція

Якщо виявлено активність Sinobi, реагуючі повинні негайно ізолювати скомпрометовані облікові записи, особливо облікові записи з підвищеними правами, такі як Довідка. Несанкціоновані RClone процеси слід припинити, а всі зміни в службах у Windows Service Control Manager слід розслідувати. Офлайн резервні копії слід перевірити та підготувати до відновлення, оскільки Sinobi призначений для знищення онлайн копій Shadow та вмісту Корзини.

Виконання симуляції

Передумова: Тест перед польотом телеметрії та базової лінії має бути пройдено.

Пояснення: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для запуску правила виявлення. Команди та розповідь ПОВИННІ безпосередньо відображати ідентифіковані TTP та мають на меті генерувати точну телеметрію, очікувану логікою виявлення. Абстрактні або не пов’язані приклади призводять до невірної діагностики.

• Наратив атаки та команди: Супротивник отримав початковий доступ і тепер виконує плату завантаження програми-вимагача. Щоб максимізувати вплив та вимогу, мета супротивника – зашифрувати документи користувача та залишити інструкції. Скрипт симулює це шляхом: 1) Створення фіктивного документа, 2) “Шифрування” його, перейменовуючи на document.pdf.SINOBI, 3) Записування записки про викуп під назвою README.txt, та 4) Записування файлу, що містить конкретні метадані curve25519_pubkey для симуляції шифрування прикінцевого запису програми-вимагача.

• Скрипт регресійного тестування:

  # Сімулювальний скрипт Sinobi Ransomware
  $targetDir = "$env:USERPROFILEDesktopSinobi_Sim"
  if (!(Test-Path $targetDir)) { New-Item -Path $targetDir -ItemType Directory }
  
  Write-Host "[+] Симулюється шифрування файлів..."
  $originalFile = "$targetDirimportant_data.pdf"
  "Вміст конфіденційних даних" | Out-File -FilePath $originalFile
  
  # Запуск selection_ext і selection_ransom
  Rename-Item -Path $originalFile -NewName "important_data.pdf.SINOBI"
  "ВАШІ ФАЙЛИ ЗАШИФРОВАНІ! ПЕРЕКАЗУЙТЕ BITCOIN ДО..." | Out-File -FilePath "$targetDirREADME.txt"
  
  Write-Host "[+] Симуляція метаданих шифрування (selection_footer)..."
  # Запуск selection_footer
  $metadataFile = "$targetDirmetadata.dat"
  "Encryption_mode: AES256; curve25519_pubkey: 0xABC123" | Out-File -FilePath $metadataFile
  
  Write-Host "[!] Симуляція завершена. Перевірте SIEM на предмет сигналів."

• Команди очищення:

  Remove-Item -Path "$env:USERPROFILEDesktopSinobi_Sim" -Recurse -Force
  Write-Host "[+] Очищення завершено."