Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Übersicht
SafePay ist eine kürzlich aufgetauchte Ransomware-Operation, die eher als straff geführte, zentralisierte Gruppe agiert, anstatt als typisches Ransomware-as-a-Service-Ökosystem. Die Täter folgen einem Doppel-Erpressungsschema, indem sie sensible Daten vor der Verschlüsselung organisieren und mit der Veröffentlichung über eine leak-Seite auf Tor drohen. Die Zustellung erfolgt häufig über eine native Windows-DLL, wobei die Ausführung und Verbreitung durch weit verbreitete Living-off-the-Land-Dienstprogramme unterstützt wird. In beobachteten Fällen ist der gesamte Zeitrahmen aggressiv, wobei der anfängliche Zugriff häufig in einer 24-Stunden-Frist durch eine Umgebungsweite Verschlüsselung komprimiert wird.
Untersuchung
Forscher berichten, dass SafePay oft Zutritt durch exponierte VPN- oder RDP-Konten erhält, indem gestohlene oder erratene Anmeldedaten verwendet werden, und in einigen Szenarien fehlerhafte FortiGate-Implementierungen ausnutzt – insbesondere Umgebungen ohne MFA. Zur Aufrechterhaltung wurden Betreiber beobachtet, die Hintertüren wie QDoor einsetzen und legitime Fernverwaltungswerkzeuge, einschließlich ScreenConnect, verwenden, um sich in normalen IT-Aktivitäten zu verbergen. Die seitliche Bewegung erfolgt typischerweise durch PsExec und WinRM, während die Entdeckung von Hosts und Freigaben durch ein maßgeschneidertes PowerShell-Dienstprogramm (ShareFinder.ps1) unterstützt wird. Vor der Verschlüsselung führt die Nutzlast „Vor-Ransom“-Aktionen aus, um die Auswirkungen zu maximieren und die Wiederherstellung zu behindern: Sie entfernt Schattenkopien, ändert Boot-Konfigurationseinstellungen und beendet eine hartcodierte Reihe von sicherheitsbezogenen Prozessen und Diensten.
Minderung
Erfordern Sie MFA für alle Remote-Zugangswege und reduzieren Sie das Firewall-Risiko, indem Sie die lokale Kontoauthentifizierung einschränken und die Verwaltungsexposition straffen. Überwachen Sie die anomale Verwendung von PsExec, WinRM, regsvr32 und rundll32 – besonders in Sequenzen, die mit Remote-Ausführung und -Organisation übereinstimmen. Stimmen Sie Endpunkterkennungen ab, um die Beendigung gängiger Sicherheitswerkzeuge, das Löschen von Schattenkopien und Veränderungen der BCD-/Boot-Einstellungen zu erkennen. Reduzieren Sie Ausführungsmöglichkeiten, indem Sie das Laden unsignierter DLLs blockieren oder streng kontrollieren und Anwendungssteuerungsrichtlinien auf Endpunkten und Servern durchsetzen.
Antwort
Wenn SafePay-Indikatoren identifiziert werden, isolieren Sie betroffene Systeme sofort, erfassen Sie flüchtigen Speicher und bewahren Sie relevante Authentifizierungs-, Endpunkt- und Netzwerklprotokolle auf. Identifizieren und blockieren Sie Infrastruktur für Kommando und Kontrolle und beenden Sie bösartige Prozesse und entfernen Sie Persistenzmechanismen. Versuchen Sie Wiederherstellungsaktionen wie die Wiederherstellung von Schattenkopien, wo möglich, aber setzen Sie Datenklau voraus und validieren Sie den Umfang der Exfiltration. Führen Sie eine vollständige forensische Untersuchung durch, um betroffene Daten zu bestimmen und führen Sie Stakeholder-Benachrichtigungen sowie Eskalationsschritte durch, die zu Verfahren zur Doppel-Erpressungsreaktion passen.
„graph TB %% Klassendefinitionen classDef technique fill:#99ccff classDef tool fill:#ffcc99 classDef operator fill:#ff9900 %% Erster Zugang tech_valid_accounts[„<b>Technik</b> – T1078 Gültige Konten<br/>Gegner verwenden gestohlene oder mit Gewalt erratene Anmeldedaten, um sich bei VPN oder RDP anzumelden“] class tech_valid_accounts technique tech_brute_force[„<b>Technik</b> – T1110 Brute Force<br/>Passwort-Raten, um gültige Anmeldedaten zu erhalten“] class tech_brute_force technique tool_vpn[„<b>Werkzeug</b> – VPN-Gateway“] class tool_vpn tool tool_rdp[„<b>Werkzeug</b> – RDP-Dienst“] class tool_rdp tool op_and_access((„UND“)) class op_and_access operator %% Ausführung tech_regsvr32[„<b>Technik</b> – T1218.010 Regsvr32<br/>Lädt schädliche DLL über Registrierung“] class tech_regsvr32 technique tech_rundll32[„<b>Technik</b> – T1218.011 Rundll32<br/>Führt Code aus einer DLL aus“] class tech_rundll32 technique tech_powershell[„<b>Technik</b> – T1059.001 PowerShell<br/>Führt PowerShell-Befehle nach der Bereitstellung aus“] class tech_powershell technique tech_cmd[„<b>Technik</b> – T1059.003 Befehlszeilenshell<br/>Führt Windows-Befehlszeilenanweisungen aus“] class tech_cmd technique op_and_execution((„UND“)) class op_and_execution operator %% Persistenz tech_boot_autostart[„<b>Technik</b> – T1547.010 Boot- oder Anmelde-Autostart-Ausführung<br/>DLL mit Regsvr32 für Persistenz registriert“] class tech_boot_autostart technique tech_appinit[„<b>Technik</b> – T1546.010 AppInit-DLLs<br/>Lädt schädliche DLL beim Systemstart“] class tech_appinit technique op_and_persistence((„UND“)) class op_and_persistence operator %% Entdeckung tech_share_discovery[„<b>Technik</b> – T1135 Netzwerkfreigabeerkennung<br/>ShareFinder.ps1 listet SMB-Freigaben auf“] class tech_share_discovery technique %% Seitliche Bewegung tech_psexec[„<b>Technik</b> – T1021.002 PsExec<br/>Führt Befehle über SMB-Adminfreigaben aus“] class tech_psexec technique tech_rdp_lm[„<b>Technik</b> – T1021.001 Remote-Dienste RDP<br/>Verwendet RDP für seitliche Bewegung“] class tech_rdp_lm technique tech_deploy_tools[„<b>Technik</b> – T1072 Software-Bereitstellungswerkzeuge<br/>Nutzen Bereitstellungsprogramme, um Befehle auf entfernten Hosts auszuführen“] class tech_deploy_tools technique op_and_lateral((„UND“)) class op_and_lateral operator %% Verteidigungsausweichen tech_service_stop[„<b>Technik</b> – T1489 Dienst anhalten<br/>Beendet Antiviren- oder Backup-Dienste“] class tech_service_stop technique tech_inhibit_recovery[„<b>Technik</b> – T1490 Systemwiederherstellung hemmen<br/>Löscht VSS-Snapshots und bearbeitet Boot-Konfiguration“] class tech_inhibit_recovery technique tech_cmstp[„<b>Technik</b> – T1548.002 UAC-Umgehung über CMSTP<br/>Verwendet CMSTP, um Code mit erhöhten Rechten auszuführen“] class tech_cmstp technique op_and_evasion((„UND“)) class op_and_evasion operator %% Sammlung & Exfiltration tech_winrar[„<b>Technik</b> – T1560.001 Archivierung über WinRAR<br/>Erstellt verschlüsselte .rar-Archive von gesammelten Daten“] class tech_winrar technique tech_lateral_transfer[„<b>Technik</b> – T1570 Lateraler Werkzeuginformationsaustausch<br/>Verschiebt Archivdateien zwischen kompromittierten Hosts“] class tech_lateral_transfer technique tech_ingress_transfer[„<b>Technik</b> – T1105 Eingehende Werkzeugübertragung<br/>Lädt Archive auf einen externen Server hoch“] class tech_ingress_transfer technique op_and_collection((„UND“)) class op_and_collection operator %% Auswirkung tech_encrypt_impact[„<b>Technik</b> – T1486 Datenverschlüsselung für Auswirkung<br/>Verschlüsselt Dateien mit AES/ChaCha20 und speichert Schlüssel mit RSA/x25519“] class tech_encrypt_impact technique %% Befehls- und Kontrollzentrum tech_encrypted_c2[„<b>Technik</b> – T1573.001 Verschlüsselter Kanal Symmetrische Verschlüsselung<br/>Schützt C2-Verkehr mit Verschlüsselung“] class tech_encrypted_c2 technique %% Flussverbindungen %% Erste Zugang Fluss tech_brute_force u002du002d>|führt zu| tech_valid_accounts tech_valid_accounts u002du002d>|verwendet| tool_vpn tech_valid_accounts u002du002d>|verwendet| tool_rdp tech_valid_accounts u002du002d>|ermöglicht| op_and_access op_and_access u002du002d>|führt zu| tech_regsvr32 op_and_access u002du002d>|führt zu| tech_rundll32 op_and_access u002du002d>|führt zu| tech_powershell op_and_access u002du002d>|führt zu| tech_cmd op_and_access u002du002d>|ermöglicht| op_and_execution op_and_execution u002du002d>|ermöglicht| tech_boot_autostart op_and_execution u002du002d>|ermöglicht| tech_appinit op_and_execution u002du002d>|ermöglicht| op_and_persistence op_and_persistence u002du002d>|führt zu| tech_share_discovery tech_share_discovery u002du002d>|ermöglicht| op_and_lateral op_and_lateral u002du002d>|verwendet| tech_psexec op_and_lateral u002du002d>|verwendet| tech_rdp_lm op_and_lateral u002du002d>|verwendet| tech_deploy_tools op_and_lateral u002du002d>|ermöglicht| op_and_evasion op_and_evasion u002du002d>|verwendet| tech_service_stop op_and_evasion u002du002d>|verwendet| tech_inhibit_recovery op_and_evasion u002du002d>|verwendet| tech_cmstp op_and_evasion u002du002d>|ermöglicht| op_and_collection op_and_collection u002du002d>|verwendet| tech_winrar op_and_collection u002du002d>|verwendet| tech_lateral_transfer op_and_collection u002du002d>|verwendet| tech_ingress_transfer op_and_collection u002du002d>|führt zu| tech_encrypt_impact tech_encrypt_impact u002du002d>|unterstützt| tech_encrypted_c2 „
Angriffsablauf
Erkennungen
Verdächtige Bcdedit-Ausführung (über cmdline)
Ansicht
Mögliche PowerShell-Vorbereitung vor Verschlüsselung (RunAs + Wiederherstellungshemmer) (über powershell)
Ansicht
Mögliche seitliche Bewegung via PsExec oder Ähnliches (über Audit)
Ansicht
WMI-Befehlsa usführung mit Windows Remote Management (über cmdline)
Ansicht
Verdächtige VSSADMIN-Aktivität (über cmdline)
Ansicht
PsExec durch benutzerseitigen Parent in öffentlichen Ordnern gestartet (über Prozess-Erstellung)
Ansicht
IOCs (E-Mails) zur Erkennung: Inside SafePay: Analyzing the New Centralized Ransomware Group
Ansicht
SafePay Ransomware Ausführung via PsExec und DLL-Ausführung [Windows Prozess-Erstellung]
Ansicht
SafePay Erstzugang über Kompromittierte Anmeldedaten und Fehlkonfigurierten FortiGate [Firewall]
Ansicht
SafePay Ransomware Verschlüsselte Dateien mit .safepay Extension [Windows Dateievent]
Ansicht
Simulation Ausführung
Voraussetzung: Die Telemetriekontrolle und Baseline-Vorbereitungsprüfung muss bestanden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnermethode (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer mit Domain-Administrator-Anmeldeinformationen kompromittiert eine Pivot-Maschine und verwendet PsExec um eine remotecmd.exeauf einem sekundären Host (TARGET_IP). Unmittelbar nach dem Aufbau der Remote-Shell überträgt der Angreifer eine bösartige DLL (malicious.dll) zum Remote-Host und lädt sie mit regsvr32.exe (alternativ rundll32.exe) um die Ransomware-Nutzlast auszuführen. Die Sequenz erzeugt zwei unterschiedliche Prozess-Erstellungsereignisse, die die Sigma-Regel erfüllen: einen PsExec-Prozess mit der genauen Befehlszeile und einen anschließenden DLL-Loader-Prozess. -
Regression Test Script:
# ------------------------------------------------------------------------- # SafePay Ransomware-Simulation – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Voraussetzungen: # - PsExec.exe im aktuellen Verzeichnis oder im PATH # - Eine bösartige DLL namens malicious.dll im gleichen Ordner platziert # - Gültige Domain-Admin-Anmeldeinformationen (Platzhalter ersetzen) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- ÄNDERN ZU IHREM ZIEL $username = "DomainAdmin" # <--- ÄNDERN ZU GÜLTIGEM BENUTZER $password = "Password123!" # <--- ÄNDERN ZU GÜLTIGEM PASSWORT $dllPath = "$PSScriptRootmalicious.dll" # 1) Führen Sie remote cmd.exe über PsExec aus Write-Host "[*] Starten von remote cmd.exe über PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # geben Sie der Remote-Sitzung Zeit zum Starten # 2) Kopieren Sie die bösartige DLL zum Remote-Host (über SMB) Write-Host "[*] Kopieren der bösartigen DLL zum Remote-Host..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Laden Sie die DLL über regsvr32 (dies erzeugt das zweite Ereignis) Write-Host "[*] Laden der bösartigen DLL mit regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme." -
Bereinigung Befehle:
# ------------------------------------------------------------------------- # Bereinigung für SafePay-Simulation # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Entfernen Sie die bösartige DLL vom Remote-Host Write-Host "[*] Entfernen der bösartigen DLL vom Remote-Host..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # Optional beenden Sie alle verbleibenden regsvr32/rundll32-Prozesse Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Bereinigung abgeschlossen."