Análise de Ransomware Benzona: IOCs, Possibilidades de Descriptografia e Estratégias de Defesa

Equipe de Segurança CyberLord

Análise de Ransomware Benzona: IOCs, Possibilidades de Descriptografia e Estratégias de Defesa

Em novembro de 2025, uma nova variante sofisticada de ransomware conhecida como Benzona surgiu, rapidamente ganhando fama por atingir organizações na Europa, Ásia e África Ocidental. Operando em um modelo de Ransomware-as-a-Service (RaaS), o Benzona emprega táticas agressivas de dupla extorsão, ameaçando vazar dados confidenciais se suas exigências não forem atendidas.

Esta análise técnica detalha a cadeia de ataque do Benzona, Indicadores de Comprometimento (IOCs) e estratégias de defesa acionáveis para profissionais de segurança.

Análise de Ransomware Benzona

A Cadeia de Ataque Benzona

O Benzona segue um ciclo de vida de ataque estruturado, projetado para maximizar o impacto e impedir a recuperação.

1. Acesso Inicial e Execução

Os invasores geralmente obtêm entrada por meio de campanhas de phishing, credenciais comprometidas ou explorando vulnerabilidades não corrigidas em aplicativos voltados para o público. Uma vez dentro, o ransomware utiliza:

  • Injeção de Processo (T1055): Injeção de código malicioso em processos legítimos para evitar detecção.
  • Intérpretes de Script (T1059): Aproveitando o PowerShell para executar comandos e desativar controles de segurança.

2. Evasão e Persistência

Para manter o acesso e evitar a detecção de antivírus, o Benzona:

  • Desativa a Recuperação: Executa comandos para excluir Volume Shadow Copies (vssadmin.exe Delete Shadows /All /Quiet) e remover pontos de Restauração do Windows.
  • Encerra Processos: Mata software de segurança e processos de virtualização para evitar análises e garantir que os arquivos não sejam bloqueados durante a criptografia.
  • Modifica o Registro: Altera chaves de registro para garantir persistência entre reinicializações.

3. Criptografia e Exfiltração (Dupla Extorsão)

O Benzona usa algoritmos criptográficos fortes para bloquear arquivos de vítimas.

  • Extensão de Arquivo: Arquivos criptografados são anexados com a extensão .benzona (por exemplo, relatorio_financeiro.pdf.benzona).
  • Roubo de Dados: Antes da criptografia, o malware exfiltra dados confidenciais para um servidor de comando e controle (C2). Esses dados roubados são a alavanca para o segundo estágio de extorsão.

4. A Nota de Resgate

Após a conclusão da criptografia, uma nota de resgate intitulada RECOVERY_INFO.txt é deixada nos diretórios afetados. A nota normalmente contém:

  • Um aviso de que os arquivos estão criptografados e os dados foram roubados.
  • Uma ameaça de publicar os dados se o resgate não for pago em 72 horas.
  • Instruções para baixar o Navegador Tor e visitar um portal de bate-papo .onion específico para negociação.

Indicadores de Comprometimento (IOCs)

As equipes de segurança devem verificar os seguintes indicadores para detectar atividades do Benzona.

Indicadores de Arquivo

  • Extensão: .benzona
  • Nota de Resgate: RECOVERY_INFO.txt

Indicadores de Rede

  • Portal de Chat Tor: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Site de Vazamento: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion

Hashes de Arquivo (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Estratégias de Defesa e Mitigação

Atualmente, não há descriptografador gratuito disponível para o ransomware Benzona. Prevenção e resposta rápida são suas únicas defesas.

  1. Backups Imutáveis: Garanta que você tenha backups offline e imutáveis. O Benzona visa e exclui backups online e cópias de sombra.
  2. Gerenciamento de Patches: Priorize a correção de sistemas voltados para a Internet para evitar o acesso inicial.
  3. Segmentação de Rede: Limite o movimento lateral segmentando redes críticas.
  4. Detecção e Resposta de Endpoint (EDR): Implante soluções EDR configuradas para bloquear injeção de processo e modificações de arquivos em massa.
  5. Treinamento de Usuários: Realize simulações de phishing para educar os funcionários sobre o reconhecimento de e-mails maliciosos.

Conclusão

O Benzona representa a evolução contínua das ameaças de RaaS no final de 2025. Seu uso de dupla extorsão e técnicas anti-recuperação o torna um adversário formidável. As organizações devem passar de uma postura reativa para uma mentalidade proativa de "assumir violação", focando em resiliência e recuperação rápida.

Se você foi atingido pelo Benzona, não pague o resgate imediatamente. Entre em contato com uma equipe profissional de resposta a incidentes para avaliar suas opções.

Visão geral

Decisões principais, riscos e ações de implementação para este tópico.

Recursos relacionados