Sinobi: O grupo de ransomware exclusivo e sofisticado que quer ser um ninja

A marca de ransomware Sinobi surgiu em meados de 2025 e rapidamente se destacou por meio de intrusões calculadas, segurança operacional disciplinada e uma estrutura profissional que revela operadores altamente qualificados e bem conectados.

Sinobi é uma organização híbrida de ransomware-como-serviço (RaaS). Os membros principais trabalham com afiliados bem selecionados para manter o controlo centralizado e a capacidade operacional distribuída. As técnicas do grupo melhoram à medida que o grupo amadurece. As operações da Sinobi são notáveis por intrusões silenciosas, ferramentas modulares, alvos seletivos e uma forte ênfase tanto na furtividade quanto na alavancagem. O grupo também é conhecido pelo uso extenso e sofisticado de living-off-the-land (LotL) e living-off-the-land binaries (LOLBins).

Aqui está uma visão rápida deste grupo:

Nome e localização

A palavra Sinobi parece ser uma referência estilizada deliberada a 'shinobi', que é um termo japonês antigo para ninja. As primeiras comunicações internas em fóruns da dark web mostraram afiliados a usar frases como "quieto a entrar, quieto a sair", reforçando a crença de que a identidade da marca pretende projetar furtividade e precisão semelhantes a um ninja.

Apesar do nome de inspiração japonesa, os padrões de comunicação, as peculiaridades linguísticas e as janelas de atividade indicam origens russas e da Europa de Leste. As ferramentas e negociações Sinobi são conduzidas principalmente em russo e inglês, sem evidências que sugiram afiliação estatal. Este é um grupo de cibercrime motivado financeiramente que opera dentro de um ecossistema regional familiar. A pesquisa independente de Rakesh Krishnan (The Raven File) apoia a localização de pelo menos um endereço IP na Rússia:

Sinobi oferece espelhos clearweb dos seus sites de fuga e chat na dark web, mas a maioria da sua infraestrutura permanece em recursos baseados em TOR, fóruns da dark web e serviços de mensagens encriptadas como o Telegram. Isso torna difícil visualizar e capturar os endereços IP dos servidores de comando e controlo (C2).

Vitimologia, operações e modelo de negócio

Sinobi não parece estar alinhado com interesses estatais ou qualquer outra ideologia. O grupo concentra-se em organizações com uma tolerância muito baixa para tempos de inatividade ou vazamento de dados. Os setores de manufatura, serviços empresariais, saúde, serviços financeiros, educação e outros têm sido todos vítimas de Sinobi. O grupo raramente tem como alvo empresas menores, provavelmente devido ao baixo "retorno sobre o investimento (de ataque)".

Não há informações publicamente disponíveis sobre regiões ou indústrias "protegidas". No entanto, a Sinobi concentra-se esmagadoramente em entidades nos Estados Unidos, com um foco secundário no Canadá, Austrália e países aliados. O grupo evita alvos que possam provocar uma resposta política ou das forças da lei, particularmente agências governamentais, serviços públicos e entidades em toda a região da Europa de Leste.

Sinobi é diferente dos programas RaaS abertos que permitem que os afiliados se inscrevam ou se candidatem a ser afiliados. O grupo depende de uma rede privada e selecionada de especialistas que são conhecidos pelo grupo ou são apresentados por fontes confiáveis. Esta abordagem permite que Sinobi evite atividades de recrutamento como esta:

Como a Sinobi não recruta como outros grupos RaaS, não há uma lista de regras do grupo, requisitos de afiliados, alvos proibidos ou outros detalhes operacionais disponíveis publicamente. Isto reduz a exposição do grupo à infiltração das autoridades e limita a inteligência de código aberto (OSINT) disponível.

Os investigadores acreditam que os operadores principais do Sinobi mantêm o código do ransomware e a infraestrutura baseada em Tor, conduzem negociações, gerem os esquemas de branqueamento de capitais e de 'cashing out', e impõem as regras do grupo. Os afiliados realizam os ataques desde a intrusão até à implementação do ransomware. Esta divisão de responsabilidades baseia-se em padrões observados nas operações do Sinobi, notas de resgate, estruturas de portal e processos de negociação. Não há confirmação pública disto, e a divisão de receitas entre os membros principais e os afiliados é desconhecida.

Cadeia de ataque

Como a maioria dos grupos de ameaças de ransomware, a cadeia de ataque do Sinobi começa por obter acesso inicial ao ambiente da vítima. Observou-se que o grupo utiliza corretores de acesso inicial (IABs), ataques de phishing através de kits de phishing comuns, e explora VPNs, appliances de firewall ou sistemas de acesso remoto vulneráveis, como Citrix ou Fortinet. O Sinobi também utilizará um terceiro comprometido e seguirá uma cadeia de abastecimento para infiltrar uma vítima.

Os operadores Sinobi seguem uma cadeia de ataques padrão que partilha muitos dos mesmos padrões observados em RansomHub, ALPHV/BlackCat e outros grupos desde o vazamento do ransomware Conti.

Uma vez dentro do sistema, Sinobi começa imediatamente uma intrusão hands-on-keyboard que utiliza tanto ferramentas personalizadas como abuso de living-off-the-land (LotL). Os atores da ameaça iniciam atividades de privilege escalation and security evasion, incluindo a criação de novas contas de administrador, o ajuste de permissões e a desativação de ferramentas de segurança de endpoint. Eles também começam a estabelecer persistência configurando ferramentas legítimas de acesso remoto.

Sinobi então lança um script de reconhecimento leve que automatiza movimento lateral e conduz tarefas adicionais de evasão de segurança. O script está configurado para enumerar informações de domínio, localizar partilhas de ficheiros, identificar contas privilegiadas e verificar soluções de segurança de endpoint que possam interromper o ataque de ransomware.

A exfiltração de dados começa assim que o atacante conclui o reconhecimento e configura Rclone, WinSCP ou alguma outra ferramenta de transferência de ficheiros. Os dados são enviados para armazenamento na nuvem ou outra localização remota, e o binário do ransomware é executado quando isto é concluído.

Não há um único nome de ficheiro utilizado para o binário do ransomware, mas geralmente é um nome genérico ou ofuscado como "bin.exe." Este ficheiro elimina a Reciclagem, encripta os ficheiros, adiciona a extensão .SINOBI e deixa a nota de resgate README.txt em cada diretório com ficheiros encriptados. Em seguida, altera o papel de parede do ambiente de trabalho para uma imagem que exibe o texto da nota de resgate.

A nota de resgate inclui informações sobre o processo de comunicação e os URLs do site de fuga TOR. Inclui também os URLs para o site de fuga na web pública. Pode ver a nota de resgate na sua totalidade aqui.

Neste ponto, o afiliado Sinobi permitirá que o grupo principal assuma o controle e gere comunicações, fugas de dados, etc.

Extorsão e negociação

Sinobi começou como uma operação de extorsão única, mas no final de 2024 mudou para uma abordagem completa de dupla extorsão, utilizando um site de vazamento hospedado no Tor. As vítimas são normalmente contactadas através da nota de resgate mencionada acima. Se as vítimas não responderem, Sinobi escala a situação publicando amostras de dados e contactando empregados ou clientes. O grupo também ameaçará a empresa com exposição regulatória sob estruturas como GDPR, HIPAA ou requisitos de divulgação da SEC.

As negociações são conduzidas por um pequeno conjunto de operadores principais que utilizam padrões de comunicação modelados e táticas de pressão adaptadas ao setor e à postura regulamentar da vítima. O objetivo é sempre gerar urgência, não pânico—manipulação profissional em vez de caos.

Amigos e família

A história de Sinobi começa em meados de 2023, quando um atacante conhecido como INC ransomware surgiu aparentemente do nada. Acredita-se que o INC seja um grupo original sem ligação a outros atacantes. Operou como um grupo de ransomware-como-serviço até maio de 2024, quando foi colocado à venda em fóruns clandestinos.

Pouco depois da (presumida) venda, o design do site de vazamentos INC foi alterado para este estilo:

A atividade da INC diminuiu e um novo grupo chamado Lynx surgiu por volta da mesma altura. Não há confirmação de que os operadores do Lynx tenham comprado o código-fonte da INC, mas Lynx é claramente um sucessor da INC .

Após um exame minucioso … a sobreposição significativa nas funções partilhadas sugere fortemente que os desenvolvedores do ransomware Lynx emprestaram e reaproveitaram uma parte considerável da base de código do INC para criar o seu próprio software malicioso. Via Unit42

Lynx foi uma ameaça ativa e agressiva durante cerca de um ano, e depois reduziu as suas atividades em meados de 2025. O grupo continua a ser uma ameaça, mas a sua atividade diminuiu por volta da altura em que Sinobi emergiu em junho de 2025.

Acredita-se amplamente que a Sinobi seja uma rebrand, sucessora ou ramificação do ransomware Lynx. O design do site de vazamentos Lynx é apenas uma das evidências de apoio para isso:

Pode ver as semelhanças entre os sites de vazamento INC, Lynx, e Sinobi.

Além disso, existem semelhanças na rotina de encriptação, vitimologia, metodologia de dupla extorsão e procedimentos operacionais.

Sinobi tira pleno partido do ecossistema de ameaças. Rotineiramente compra acesso de IABs, aluga infraestrutura de fornecedores de hospedagem à prova de bala, obtém credenciais de mercados darknet e, ocasionalmente, faz parcerias com operadores de botnet para distribuição de phishing. As suas práticas de lavagem de dinheiro e levantamento de fundos são indistinguíveis das usadas por Qilin e Akira.

Proteja-se

Todos os indicadores sugerem que a Sinobi está numa trajetória de crescimento. À medida que o mercado de ransomware continua a fragmentar-se e a evoluir, a Sinobi está bem posicionada para expandir a sua base de afiliados, reforçar as suas ferramentas e potencialmente adicionar variantes direcionadas ao Linux ou VMware ESXi. O seu profissionalismo discreto e frequência moderada de publicação indicam um grupo que prefere uma renda sustentável em vez de um crescimento explosivo, o que pode ajudá-los a evitar o destino de grupos de alto perfil que atraem uma pressão agressiva das autoridades.

Sinobi representa uma ameaça de ransomware avançada e ágil. As organizações podem reduzir significativamente o risco ao focarem-se na gestão de credenciais, sensibilização dos colaboradores, monitorização proativa e investimentos contínuos em fluxos de trabalho de backup, deteção e resposta. A prevenção e a resposta rápida são atualmente os meios mais eficazes de defesa contra esta ameaça.

Barracuda pode ajudar

Maximize a sua proteção e resiliência cibernética com a plataforma de cibersegurança BarracudaONE potenciada por IA. A plataforma protege o seu email, dados, aplicações e redes, e é fortalecida por um serviço XDR gerido 24/7, unificando as suas defesas de segurança e proporcionando deteção e resposta a ameaças profundas e inteligentes. Gerencie a postura de segurança da sua organização com confiança, aproveitando a proteção avançada, análises em tempo real e capacidades de resposta proativa. Ferramentas de relatório robustas fornecem informações claras e acionáveis, ajudando a monitorizar riscos, medir o ROI e demonstrar o impacto operacional. Não perca a oportunidade de obter uma demonstração da plataforma com os nossos especialistas em cibersegurança.