Benzona Ransomware Analyse: IOC's, Decryptiemogelijkheden en Verdedigingsstrategieën

Cyberlord Security Team

Benzona Ransomware Analyse: IOC's, Decryptiemogelijkheden en Verdedigingsstrategieën

In november 2025 dook er een geavanceerde nieuwe ransomware-stam op, bekend als Benzona, die snel naam maakte door organisaties in Europa, Azië en West-Afrika te viseren. Benzona opereert volgens een Ransomware-as-a-Service (RaaS) model en hanteert agressieve dubbele afpersingstactieken, waarbij wordt gedreigd gevoelige gegevens te lekken als niet aan de eisen wordt voldaan.

Deze technische analyse splitst de Benzona-aanvalsketen, Indicators of Compromise (IOC's) en actiegerichte verdedigingsstrategieën voor beveiligingsprofessionals uit.

Benzona Ransomware Analyse

De Benzona Aanvalsketen

Benzona volgt een gestructureerde aanvalslevenscyclus die is ontworpen om de impact te maximaliseren en herstel te belemmeren.

1. Initiële Toegang & Uitvoering

Aanvallers krijgen doorgaans toegang via phishing-campagnes, gecompromitteerde inloggegevens of door misbruik te maken van ongepatchte kwetsbaarheden in openbare applicaties. Eenmaal binnen maakt de ransomware gebruik van:

  • Procesinjectie (T1055): Kwaadaardige code injecteren in legitieme processen om detectie te omzeilen.
  • Scripting Interpreters (T1059): Gebruikmaken van PowerShell om commando's uit te voeren en beveiligingscontroles uit te schakelen.

2. Ontwijking & Persistentie

Om toegang te behouden en antivirusdetectie te vermijden, doet Benzona het volgende:

  • Schakelt Herstel Uit: Het voert commando's uit om Volume Shadow Copies te verwijderen (vssadmin.exe Delete Shadows /All /Quiet) en Windows-herstelpunten te verwijderen.
  • Beëindigt Processen: Het doodt beveiligingssoftware en virtualisatieprocessen om analyse te voorkomen en ervoor te zorgen dat bestanden niet worden vergrendeld tijdens versleuteling.
  • Wijzigt Register: Het wijzigt registersleutels om persistentie na herstart te garanderen.

3. Versleuteling & Exfiltratie (Dubbele Afpersing)

Benzona gebruikt sterke cryptografische algoritmen om bestanden van slachtoffers te vergrendelen.

  • Bestandsextensie: Versleutelde bestanden krijgen de toevoeging .benzona (bijv. financieel_rapport.pdf.benzona).
  • Gegevensdiefstal: Vóór versleuteling exfiltreert de malware gevoelige gegevens naar een command-and-control (C2) server. Deze gestolen gegevens vormen het drukmiddel voor de tweede fase van afpersing.

4. De Losgeldbrief

Nadat de versleuteling is voltooid, wordt een losgeldbrief met de titel RECOVERY_INFO.txt achtergelaten in de getroffen mappen. De brief bevat doorgaans:

  • Een waarschuwing dat bestanden zijn versleuteld en gegevens zijn gestolen.
  • Een dreigement om de gegevens te publiceren als het losgeld niet binnen 72 uur wordt betaald.
  • Instructies om de Tor Browser te downloaden en een specifiek .onion chatportaal te bezoeken voor onderhandeling.

Indicators of Compromise (IOC's)

Beveiligingsteams moeten scannen op de volgende indicatoren om Benzona-activiteit te detecteren.

Bestandsindicatoren

  • Extensie: .benzona
  • Losgeldbrief: RECOVERY_INFO.txt

Netwerkindicatoren

  • Tor Chatportaal: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Leksite: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

Bestands Hashes (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Verdedigings- & Mitigatiestrategieën

Er is momenteel geen gratis decryptor beschikbaar voor Benzona-ransomware. Preventie en snelle reactie zijn uw enige verdediging.

  1. Onwijzigbare Back-ups: Zorg ervoor dat u offline, onwijzigbare back-ups heeft. Benzona richt zich op en verwijdert online back-ups en schaduwkopieën.
  2. Patchbeheer: Geef prioriteit aan het patchen van systemen die met internet zijn verbonden om initiële toegang te voorkomen.
  3. Netwerksegmentatie: Beperk laterale beweging door kritieke netwerken te segmenteren.
  4. Endpoint Detection and Response (EDR): Implementeer EDR-oplossingen die zijn geconfigureerd om procesinjectie en massale bestandswijzigingen te blokkeren.
  5. Gebruikerstraining: Voer phishing-simulaties uit om werknemers te leren kwaadaardige e-mails te herkennen.

Conclusie

Benzona vertegenwoordigt de voortdurende evolutie van RaaS-bedreigingen eind 2025. Het gebruik van dubbele afpersing en anti-hersteltechnieken maakt het een geduchte tegenstander. Organisaties moeten overstappen van een reactieve houding naar een proactieve "ga uit van een inbreuk" mentaliteit, gericht op veerkracht en snel herstel.

Als u bent getroffen door Benzona, betaal het losgeld dan niet onmiddellijk. Neem contact op met een professioneel incidentresponsteam om uw opties te beoordelen.

Overzicht

Belangrijkste keuzes, risico's en uitvoeringsacties voor dit onderwerp.

Gerelateerde bronnen