Analys av Benzona Ransomware: IoC:er, Dekrypteringsmöjligheter och Försvarsstrategier

Cyberlord Security Team

Analys av Benzona Ransomware: IoC:er, Dekrypteringsmöjligheter och Försvarsstrategier

I november 2025 dök en sofistikerad ny ransomware-stam känd som Benzona upp och gjorde sig snabbt ett namn genom att rikta in sig på organisationer i Europa, Asien och Västafrika. Benzona arbetar enligt en Ransomware-as-a-Service (RaaS)-modell och använder aggressiva taktiker för dubbel utpressning, och hotar att läcka känslig data om dess krav inte tillgodoses.

Denna tekniska analys bryter ner Benzonas attackkedja, indikatorer på kompromiss (IoC:er), MITRE ATT&CK-mappningar och åtgärdbara försvarsstrategier för säkerhetsproffs.

Analys av Benzona Ransomware

Benzonas Attackkedja

Benzona följer en strukturerad attacklivscykel utformad för att maximera påverkan och hindra återställning.

1. Initial Åtkomst och Utförande

Angripare får vanligtvis inträde genom nätfiskekampanjer, komprometterade inloggningsuppgifter eller genom att utnyttja opatchade sårbarheter i offentliga applikationer. I bekräftade fall har Benzona-operatörer utnyttjat:

  • Nätfiske med stöld av inloggningsuppgifter som riktar sig mot VPN- och Remote Desktop Protocol (RDP)-portaler
  • Utnyttjande av kända CVE:er i internetvända tjänster, särskilt äldre VPN-apparater och opatchade Exchange-servrar
  • Köpt initial åtkomst från åtkomstmäklare som opererar på dark web-forum – ett kännetecken för RaaS-modellen

Väl inne använder ransomwaret:

  • Processinjektion (T1055): Injicerar skadlig kod i legitima processer (svchost.exe, explorer.exe) för att undgå upptäckt.
  • Skripttolkar (T1059): Utnyttjar PowerShell och Windows Management Instrumentation (WMI) för att utföra kommandon och inaktivera säkerhetskontroller.

2. Spaning och Lateral Rörelse

Efter att ha etablerat en initial fäste ägnar Benzona-operatörer 3–14 dagar åt intern spaning innan de detonerar ransomwaret. Denna vistelsetid används för att:

  • Kartlägga Active Directory-strukturen med BloodHound och SharpHound för att identifiera högvärds mål
  • Identifiera och lokalisera backup-infrastruktur (specifikt för att förstöra den innan kryptering)
  • Röra sig lateralt med stulna inloggningsuppgifter, PsExec och WMI fjärrkörning
  • Eskalera privilegier till domänadministratör med tekniker som Kerberoasting och Pass-the-Hash

3. Undanflykt och Uthållighet

För att behålla åtkomst och undvika antivirusdetektering:

  • Inaktiverar Återställning: Det utför vssadmin.exe Delete Shadows /All /Quiet för att förstöra volymskuggkopior och ta bort Windows återställningspunkter.
  • Avslutar Processer: Det dödar säkerhetsprogramvara och virtualiseringsprocesser för att förhindra analys och säkerställa att filer inte är låsta under kryptering.
  • Modifierar Registret: Det ändrar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon och run-nycklar för att säkerställa uthållighet vid omstarter.
  • Inaktiverar Windows Defender: Använder PowerShell Set-MpPreference -DisableRealtimeMonitoring $true och tar bort Windows Defender-definitioner.

4. Kryptering och Exfiltrering (Dubbel Utpressning)

Benzona använder en hybridkryptering som kombinerar RSA-4096 (för nyckelutbyte) och AES-256 (för filkryptering) — en vanlig RaaS-implementering som gör dekryptering utan angriparens privata nyckel beräkningsmässigt omöjlig.

  • Filändelse: Krypterade filer får tillägget .benzona (t.ex. finansiell_rapport.pdf.benzona).
  • Datastöld: Innan kryptering exfiltrerar den skadliga programvaran känslig data till en command-and-control (C2)-server med HTTPS för att smälta in med legitim trafik. Denna stulna data är hävstången för den andra etappen av utpressning.
  • Målinriktade Filtyper: .doc, .docx, .xls, .xlsx, .pdf, .sql, .mdf, .mdb, .bak, .vhd, .vmdk, .edb — prioriterar dokument, databaser och backup-filer.

5. Lösensummanotan

När krypteringen är klar släpps en lösensummanota med titeln RECOVERY_INFO.txt i berörda kataloger. Notan innehåller vanligtvis:

  • En varning om att filer är krypterade och data har stulits.
  • Ett hot om att publicera data om lösensumman inte betalas inom 72 timmar.
  • Instruktioner om att ladda ner Tor Browser och besöka en specifik .onion-chattportal för förhandling.
  • Ett unikt offer-ID som krävs för att autentisera förhandlingar.

Observerade lösensummakrav har varierat från $50,000 till $2,5 miljoner i Monero (XMR) eller Bitcoin (BTC), beroende på organisationens storlek och bransch.

MITRE ATT&CK Ramverksmappning

Taktik Teknik ID
Initial Åtkomst Nätfiske T1566
Utförande Kommandotolk: PowerShell T1059.001
Uthållighet Registernycklar för autostart T1547.001
Privilegieskalering Giltiga konton: Domänkonton T1078.002
Undanflykt Processinjektion T1055
Undanflykt Försvaga försvar T1562.001
Behörighetsåtkomst OS-inloggningsdumpning T1003.001
Lateral Rörelse Fjärrtjänster: SMB T1021.002
Exfiltrering Exfiltrering över C2-kanal T1041
Påverkan Datakryptering för påverkan T1486
Påverkan Hämma systemåterställning T1490

Indikatorer på Kompromiss (IoC:er)

Säkerhetsteam bör skanna efter följande indikatorer för att upptäcka Benzona-aktivitet.

Filindikatorer

  • Tillägg: .benzona
  • Lösensummanota: RECOVERY_INFO.txt
  • Släppta Körbara Filer: Slumpmässiga 8-karaktärs alfanumeriska filnamn i %TEMP% och C:\Windows\Temp

Nätverksindikatorer

  • Tor Chattportal: http://rwsu75mtgj5oiz3alkfpnxnopcbiqed6wllyoffpuruuu6my6imjzuqd.onion/
  • Läckagesajt: http://benzona6x5ggng3hx52h4mak5sgx5vukrdlrrd3of54g2uppqog2joyd.onion
  • C2-infrastruktur: Anslutningar över HTTPS till .icu, .top, och nyligen registrerade .com-domäner på icke-standardportar

Filhashar (SHA-256)

  • 09f7432834ce15e701aa7fcc84a9c2441c1c7e0a9cb66a6211845be73d2597cc
  • 1c895eeb1d6ab9e5268759558c765b93f4c183557cb2c457857b91532ac61982

Registerartefakter

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit — modifierad för att inkludera ransomware-loader-sökväg
  • Radering av HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore\FilesNotToBackup

Dekrypteringsmöjligheter

Det finns för närvarande ingen gratis offentlig dekrypterare tillgänglig för Benzona ransomware. RSA-4096 / AES-256 hybridkrypteringschemat har inte kryptografiskt brutits.

Organisationer bör dock överväga:

  1. Kontrollera NoMoreRansom.org: No More Ransom-projektet samlar gratis dekrypterare från brottsbekämpande myndigheter.
  2. Bevara krypterade filer: Även om du återställer från backup, behåll krypterade kopior.
  3. Anlita en professionell incidentresponsfirma: I vissa fall har IR-team återställt nycklar från minnesforensik.

Försvars- och Mitigeringsstrategier

Det finns för närvarande ingen gratis dekrypterare tillgänglig för Benzona ransomware. Förebyggande och snabb respons är ditt enda försvar.

Före en Attack

  1. Oföränderliga Backuper: Se till att du har offline, luftgapade eller oföränderliga molnbackuper (AWS S3 Object Lock, Azure Immutable Blob Storage). Benzona riktar specifikt in sig på och raderar online-backuper och skuggkopior.
  2. Patchhantering: Prioritera att patcha internetanslutna system, särskilt VPN-apparater, Exchange och RDP-exponerade system — Benzonas föredragna initiala åtkomstvektorer.
  3. Nätverkssegmentering: Begränsa lateral rörelse med mikrosegmentering. Domänkontrollanter, backup-servrar och kritisk infrastruktur bör inte vara nåbara från allmänna arbetsstationsnätverk.
  4. Privileged Access Management (PAM): Verkställ just-in-time-privilegieskalering och begränsa vem som har domänadministratörsrättigheter.
  5. Endpoint Detection and Response (EDR): Distribuera EDR-lösningar konfigurerade för att blockera processinjektion (T1055), massfilmodifieringar och radering av volymskuggkopior.
  6. Multifaktorautentisering: Verkställ MFA på all VPN-åtkomst, RDP-åtkomst och privilegierade konton.

Under en Attack (Första Timmen)

  1. Isolera infekterade system från nätverket omedelbart — stäng inte av dem om forensisk analys behövs.
  2. Bevara minne på körande system för forensisk analys (potentiell nyckelåterställning).
  3. Alertera ditt incidentresponsteam innan du försöker åtgärda.
  4. Betala inte omedelbart — betalning garanterar inte återställning.

Slutsats

Benzona representerar den fortsatta utvecklingen av RaaS-hot i slutet av 2025. Dess användning av dubbel utpressning, utökad vistelsetid och systematisk backup-förstörelse gör den till en formidabel motståndare. Organisationer måste gå från en reaktiv hållning till en proaktiv mentalitet att "anta intrång", med fokus på motståndskraft och snabb återhämtning.

Om du har drabbats av Benzona, betala inte lösensumman omedelbart. Kontakta ett professionellt incidentresponsteam för att bedöma dina alternativ.

Översikt

Viktiga beslut, risker och genomförandeåtgärder för detta ämne.

Relaterade resurser