SOC Prime Bias: Alto

14 Jan 2026 19:49
newspaper icon picussecurity.com

Dentro do SafePay: Analisando o Novo Grupo de Ransomware Centralizado

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Dentro do SafePay: Analisando o Novo Grupo de Ransomware Centralizado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

SafePay é uma operação de ransomware recentemente surgida que parece operar como um grupo centralizado e controlado de forma rígida, em vez de um ecossistema típico de Ransomware como Serviço. Os atores seguem um roteiro de dupla extorsão, preparando dados confidenciais antes da criptografia e ameaçando a publicação por meio de um site de vazamentos baseado em Tor. A entrega geralmente envolve um DLL nativo do Windows, com execução e propagação apoiadas por utilitários amplamente disponíveis de living-off-the-land. Em casos observados, a linha do tempo de ponta a ponta é agressiva, frequentemente comprimindo o acesso inicial por meio de criptografia em todo o ambiente em uma janela de cerca de 24 horas.

Investigação

Pesquisadores relatam que o SafePay frequentemente assegura a entrada por meio de contas VPN ou RDP expostas usando credenciais roubadas ou adivinhadas, e em alguns cenários abusa de implantações FortiGate mal configuradas—particularmente em ambientes sem MFA. Para persistência, foi observado que os operadores implantam backdoors como QDoor e aproveitam ferramentas legítimas de administração remota, incluindo ScreenConnect, para se misturar à atividade normal de TI. O movimento lateral é tipicamente impulsionado por meio do PsExec e WinRM, enquanto a descoberta de hosts e compartilhamentos é suportada por uma utilidade PowerShell personalizada (ShareFinder.ps1). Antes da criptografia, o payload executa ações “pré-resgate” projetadas para maximizar o impacto e dificultar a recuperação: remove cópias de sombra, altera configurações de inicialização e termina um conjunto codificado de processos e serviços relacionados à segurança.

Mitigação

Exigir MFA em todas as vias de acesso remoto e reduzir o risco de firewall restringindo a autenticação de contas locais e apertando a exposição administrativa. Monitorar o uso anômalo de PsExec, WinRM, regsvr32, e rundll32—especialmente em sequências consistentes com execução remota e preparação. Ajustar as detecções de endpoint para revelar a terminação de ferramentas de segurança comuns, exclusão de cópias de sombra e mudanças nas configurações de BCD/boot. Reduzir oportunidades de execução bloqueando ou controlando rigorosamente o carregamento de DLLs não assinadas e aplicando políticas de controle de aplicativos em endpoints e servidores.

Resposta

Quando indicadores de SafePay são identificados, isolar imediatamente os sistemas afetados, capturar memória volátil e preservar logs de autenticação, endpoint e rede relevantes. Identificar e bloquear a infraestrutura de comando e controle associada, depois terminar processos maliciosos e remover mecanismos de persistência. Tentar ações de recuperação como restaurar cópias de sombra quando viável, mas assumir que pode ter ocorrido furto de dados e validar o escopo de exfiltração. Completar uma revisão forense completa para determinar os dados impactados e executar notificações a partes interessadas e etapas de escalonamento alinhadas aos procedimentos de resposta a dupla extorsão.

“graph TB %% Definições de Classe classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef operator fill:#ff9900 %% Acesso Inicial tech_valid_accounts[“<b>Técnica</b> – T1078 Contas Válidas<br/>Adversários usam credenciais roubadas ou por força bruta para logar no VPN ou RDP”] class tech_valid_accounts technique tech_brute_force[“<b>Técnica</b> – T1110 Força Bruta<br/>Adivinhação de senhas para obter credenciais válidas”] class tech_brute_force technique tool_vpn[“<b>Ferramenta</b> – gateway VPN”] class tool_vpn tool tool_rdp[“<b>Ferramenta</b> – serviço RDP”] class tool_rdp tool op_and_access((“AND”)) class op_and_access operator %% Execução tech_regsvr32[“<b>Técnica</b> – T1218.010 Regsvr32<br/>Carrega DLL maliciosa por meio da inscrição”] class tech_regsvr32 technique tech_rundll32[“<b>Técnica</b> – T1218.011 Rundll32<br/>Executa código de uma DLL”] class tech_rundll32 technique tech_powershell[“<b>Técnica</b> – T1059.001 PowerShell<br/>Executa comandos PowerShell pós‑implantação”] class tech_powershell technique tech_cmd[“<b>Técnica</b> – T1059.003 Shell de Comando<br/>Executa instruções da linha de comando do Windows”] class tech_cmd technique op_and_execution((“AND”)) class op_and_execution operator %% Persistência tech_boot_autostart[“<b>Técnica</b> – T1547.010 Execução de Inicialização ou Logon Automático<br/>DLL registrada com Regsvr32 para persistência”] class tech_boot_autostart technique tech_appinit[“<b>Técnica</b> – T1546.010 DLLs AppInit<br/>Carrega DLL maliciosa na inicialização do sistema”] class tech_appinit technique op_and_persistence((“AND”)) class op_and_persistence operator %% Descoberta tech_share_discovery[“<b>Técnica</b> – T1135 Descoberta de Compartilhamento de Rede<br/>ShareFinder.ps1 enumera compartilhamentos SMB”] class tech_share_discovery technique %% Movimento Lateral tech_psexec[“<b>Técnica</b> – T1021.002 PsExec<br/>Executa comandos sobre compartilhamentos de administração SMB”] class tech_psexec technique tech_rdp_lm[“<b>Técnica</b> – T1021.001 Serviços Remotos RDP<br/>Usa RDP para movimento lateral”] class tech_rdp_lm technique tech_deploy_tools[“<b>Técnica</b> – T1072 Ferramentas de Implantação de Software<br/>Utiliza utilitários de implantação para executar comandos em hosts remotos”] class tech_deploy_tools technique op_and_lateral((“AND”)) class op_and_lateral operator %% Evasão de Defesa tech_service_stop[“<b>Técnica</b> – T1489 Interrupção de Serviço<br/>Termina serviços de antivírus ou backup”] class tech_service_stop technique tech_inhibit_recovery[“<b>Técnica</b> – T1490 Inibir Recuperação do Sistema<br/>Exclui snapshots VSS e edita config de inicialização”] class tech_inhibit_recovery technique tech_cmstp[“<b>Técnica</b> – T1548.002 Bypass UAC via CMSTP<br/>Usa CMSTP para executar código com direitos elevados”] class tech_cmstp technique op_and_evasion((“AND”)) class op_and_evasion operator %% Coleta & Exfiltração tech_winrar[“<b>Técnica</b> – T1560.001 Arquivo via WinRAR<br/>Cria arquivos .rar criptografados com dados coletados”] class tech_winrar technique tech_lateral_transfer[“<b>Técnica</b> – T1570 Transferência Lateral de Ferramentas<br/>Move arquivos de arquivo entre hosts comprometidos”] class tech_lateral_transfer technique tech_ingress_transfer[“<b>Técnica</b> – T1105 Transferência de Ferramenta de Entrada<br/>Carrega arquivos de arquivo para servidor externo”] class tech_ingress_transfer technique op_and_collection((“AND”)) class op_and_collection operator %% Impacto tech_encrypt_impact[“<b>Técnica</b> – T1486 Dados Criptografados para Impacto<br/>Criptografa arquivos com AES/ChaCha20 e armazena chaves com RSA/x25519”] class tech_encrypt_impact technique %% Comando e Controle tech_encrypted_c2[“<b>Técnica</b> – T1573.001 Canal Criptografado Criptografia Simétrica<br/>Protege tráfego C2 com criptografia”] class tech_encrypted_c2 technique %% Conexões de Fluxo %% Fluxo de Acesso Inicial tech_brute_force u002du002d>|leva a| tech_valid_accounts tech_valid_accounts u002du002d>|usa| tool_vpn tech_valid_accounts u002du002d>|usa| tool_rdp tech_valid_accounts u002du002d>|habilita| op_and_access op_and_access u002du002d>|leva a| tech_regsvr32 op_and_access u002du002d>|leva a| tech_rundll32 op_and_access u002du002d>|leva a| tech_powershell op_and_access u002du002d>|leva a| tech_cmd op_and_access u002du002d>|habilita| op_and_execution op_and_execution u002du002d>|habilita| tech_boot_autostart op_and_execution u002du002d>|habilita| tech_appinit op_and_execution u002du002d>|habilita| op_and_persistence op_and_persistence u002du002d>|leva a| tech_share_discovery tech_share_discovery u002du002d>|habilita| op_and_lateral op_and_lateral u002du002d>|usa| tech_psexec op_and_lateral u002du002d>|usa| tech_rdp_lm op_and_lateral u002du002d>|usa| tech_deploy_tools op_and_lateral u002du002d>|habilita| op_and_evasion op_and_evasion u002du002d>|usa| tech_service_stop op_and_evasion u002du002d>|usa| tech_inhibit_recovery op_and_evasion u002du002d>|usa| tech_cmstp op_and_evasion u002du002d>|habilita| op_and_collection op_and_collection u002du002d>|usa| tech_winrar op_and_collection u002du002d>|usa| tech_lateral_transfer op_and_collection u002du002d>|usa| tech_ingress_transfer op_and_collection u002du002d>|leva a| tech_encrypt_impact tech_encrypt_impact u002du002d>|suporta| tech_encrypted_c2 “

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação de Pré-Voo de Telemetria & Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o narrativo DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário com credenciais de Administrador de Domínio compromete uma máquina de pivô e usa PsExec para lançar um cmd.exe remoto em um host secundário (TARGET_IP). Imediatamente após estabelecer o shell remoto, o atacante transfere uma DLL maliciosa (malicious.dll) para o host remoto e a carrega usando regsvr32.exe (alternativamente rundll32.exe) para executar o payload do ransomware. A sequência produz dois eventos distintos de criação de processo que satisfazem a regra Sigma: um processo PsExec com a linha de comando exata e um processo subsequente de carregamento de DLL.

  • Script de Teste de Regressão:

    # -------------------------------------------------------------------------
# Simulação de Ransomware SafePay – PsExec + Regsvr32
# -------------------------------------------------------------------------
# Pré-requisitos:
#   - PsExec.exe no diretório atual ou no PATH
#   - Uma DLL maliciosa chamada malicious.dll colocada na mesma pasta
#   - Credenciais de administrador de domínio válidas (substitua os marcadores de posição)
# -------------------------------------------------------------------------

$targetIP   = "10.0.0.20"            # <--- ALTERE PARA SEU DESTINO
$username   = "DomainAdmin"        # <--- ALTERE PARA USUÁRIO VÁLIDO
$password   = "Password123!"        # <--- ALTERE PARA SENHA VÁLIDA
$dllPath    = "$PSScriptRootmalicious.dll"

# 1) Execute cmd.exe remoto via PsExec
Write-Host "[*] Iniciando cmd.exe remoto via PsExec..."
$psexecArgs = "$targetIP -u $username -p $password cmd.exe"
& .PsExec.exe $psexecArgs

Start-Sleep -Seconds 5  # dê tempo para sessão remota iniciar

# 2) Copiar a DLL maliciosa para o host remoto (usando SMB)
Write-Host "[*] Copiando DLL maliciosa para o host remoto..."
$destPath = "$targetIPC$Tempmalicious.dll"
Copy-Item -Path $dllPath -Destination $destPath -Force

# 3) Carregar a DLL via regsvr32 (isso gera o segundo evento)
Write-Host "[*] Carregando DLL maliciosa com regsvr32..."
$regsvrArgs = "/s $destPath"
& regsvr32.exe $regsvrArgs

Write-Host "[+] Simulação completa. Verifique alertas no SIEM."

  • Comandos de Limpeza:

    # -------------------------------------------------------------------------
# Limpeza para Simulação SafePay
# -------------------------------------------------------------------------
$targetIP = "10.0.0.20"
$dllRemote = "$targetIPC$Tempmalicious.dll"

# Remover a DLL maliciosa do host remoto
Write-Host "[*] Removendo DLL maliciosa do host remoto..."
Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue

# Opcionalmente, termine quaisquer processos persistentes de regsvr32/rundll32
Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
    Where-Object {$_.Path -like "*$targetIP*"} |
    Stop-Process -Force

Write-Host "[+] Limpeza completa."

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente