Analisi Ransomware Benzona: IOC, Possibilità di Decrittazione e Strategie di Difesa

Team di Sicurezza Cyberlord

Analisi Ransomware Benzona: IOC, Possibilità di Decrittazione e Strategie di Difesa

Nel novembre 2025, è emerso un nuovo sofisticato ceppo di ransomware noto come Benzona, che si è rapidamente fatto un nome prendendo di mira organizzazioni in Europa, Asia e Africa occidentale. Operando su un modello Ransomware-as-a-Service (RaaS), Benzona impiega tattiche aggressive di doppia estorsione, minacciando di divulgare dati sensibili se le sue richieste non vengono soddisfatte.

Questa analisi tecnica scompone la catena di attacco di Benzona, gli Indicatori di Compromissione (IOC) e le strategie di difesa attuabili per i professionisti della sicurezza.

Analisi Ransomware Benzona

La Catena di Attacco Benzona

Benzona segue un ciclo di vita dell'attacco strutturato progettato per massimizzare l'impatto e ostacolare il recupero.

1. Accesso Iniziale ed Esecuzione

Gli aggressori ottengono tipicamente l'ingresso tramite campagne di phishing, credenziali compromesse o sfruttando vulnerabilità non patchate in applicazioni pubbliche. Una volta dentro, il ransomware utilizza:

  • Iniezione di Processo (T1055): Inietta codice dannoso in processi legittimi per eludere il rilevamento.
  • Interpreti di Scripting (T1059): Sfrutta PowerShell per eseguire comandi e disabilitare i controlli di sicurezza.

2. Evasione e Persistenza

Per mantenere l'accesso ed evitare il rilevamento antivirus, Benzona:

  • Disabilita il Recupero: Esegue comandi per eliminare le Copie Shadow del Volume (vssadmin.exe Delete Shadows /All /Quiet) e rimuovere i punti di Ripristino Windows.
  • Termina i Processi: Uccide il software di sicurezza e i processi di virtualizzazione per impedire l'analisi e assicurare che i file non siano bloccati durante la crittografia.
  • Modifica il Registro: Altera le chiavi di registro per garantire la persistenza attraverso i riavvii.

3. Crittografia ed Esfiltrazione (Doppia Estorsione)

Benzona utilizza forti algoritmi crittografici per bloccare i file delle vittime.

  • Estensione File: Ai file crittografati viene aggiunta l'estensione .benzona (es. rapporto_finanziario.pdf.benzona).
  • Furto di Dati: Prima della crittografia, il malware esfiltra dati sensibili verso un server di comando e controllo (C2). Questi dati rubati sono la leva per la seconda fase dell'estorsione.

4. La Nota di Riscatto

Dopo che la crittografia è completa, una nota di riscatto intitolata RECOVERY_INFO.txt viene lasciata nelle directory interessate. La nota contiene tipicamente:

  • Un avvertimento che i file sono crittografati e i dati sono stati rubati.
  • Una minaccia di pubblicare i dati se il riscatto non viene pagato entro 72 ore.
  • Istruzioni per scaricare il Tor Browser e visitare uno specifico portale di chat .onion per la negoziazione.

Indicatori di Compromissione (IOC)

I team di sicurezza dovrebbero scansionare i seguenti indicatori per rilevare l'attività di Benzona.

Indicatori File

  • Estensione: .benzona
  • Nota di Riscatto: RECOVERY_INFO.txt

Indicatori di Rete

  • Portale Chat Tor: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Sito Leak: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

Hash File (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Strategie di Difesa e Mitigazione

Al momento non esiste un decryptor gratuito disponibile per il ransomware Benzona. La prevenzione e la risposta rapida sono le tue uniche difese.

  1. Backup Immutabili: Assicurati di avere backup offline e immutabili. Benzona prende di mira ed elimina i backup online e le copie shadow.
  2. Gestione delle Patch: Dai priorità al patching dei sistemi esposti a internet per prevenire l'accesso iniziale.
  3. Segmentazione di Rete: Limita il movimento laterale segmentando le reti critiche.
  4. Endpoint Detection and Response (EDR): Distribuisci soluzioni EDR configurate per bloccare l'iniezione di processi e le modifiche di file di massa.
  5. Formazione Utenti: Conduci simulazioni di phishing per educare i dipendenti a riconoscere le email dannose.

Conclusione

Benzona rappresenta la continua evoluzione delle minacce RaaS alla fine del 2025. Il suo uso di doppia estorsione e tecniche anti-recupero lo rende un avversario formidabile. Le organizzazioni devono passare da una posizione reattiva a una mentalità proattiva di "assumere la violazione", concentrandosi sulla resilienza e sul recupero rapido.

Se sei stato colpito da Benzona, non pagare il riscatto immediatamente. Contatta un team professionale di risposta agli incidenti per valutare le tue opzioni.

Panoramica

Decisioni chiave, rischi e azioni di implementazione per questo argomento.

Risorse correlate