Dentro de SafePay: Analizando el Nuevo Grupo de Ransomware Centralizado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
SafePay es una operación de ransomware recientemente surgida que parece funcionar como un grupo centralizado y controlado rigurosamente, en lugar de un ecosistema típico de Ransomware como Servicio. Los actores siguen un manual de doble extorsión, preparando datos sensibles antes de la encriptación y amenazando con su publicación a través de un sitio de fugas basado en Tor. La entrega comúnmente implica una DLL nativa de Windows, con ejecución y propagación soportadas por utilidades ampliamente disponibles de vivir de la tierra. En los casos observados, la línea de tiempo de extremo a extremo es agresiva, comprimiendo frecuentemente el acceso inicial a través de la encriptación del entorno en aproximadamente un periodo de 24 horas.
Investigación
Los investigadores informan que SafePay a menudo asegura el acceso a través de cuentas VPN o RDP expuestas usando credenciales robadas o adivinadas, y en algunos escenarios abusa de implementaciones de FortiGate mal configuradas, especialmente en entornos que carecen de MFA. Para persistencia, se ha observado a los operadores desplegar puertas traseras como QDoor y aprovechar herramientas legítimas de administración remota, incluyendo ScreenConnect, para integrarse en la actividad normal de TI. El movimiento lateral generalmente se impulsa a través de PsExec y WinRM, mientras que el descubrimiento de anfitriones y recursos compartidos es apoyado por una utilidad personalizada de PowerShell (ShareFinder.ps1). Antes de la encriptación, la carga útil realiza acciones «previas al rescate» diseñadas para maximizar el impacto y dificultar la recuperación: remueve copias sombra, altera configuraciones de arranque y termina un conjunto de procesos y servicios relacionados con la seguridad que están codificados de manera rígida.
Mitigación
Requiere MFA a través de todas las vías de acceso remoto y reduce el riesgo del firewall restringiendo la autenticación de cuentas locales y limitando la exposición administrativa. Monitorea el uso anómalo de PsExec, WinRM, regsvr32 y rundll32, especialmente en secuencias consistentes con la ejecución y preparación remotas. Ajusta las detecciones de endpoints para detectar la terminación de herramientas de seguridad comunes, la eliminación de copias sombra y los cambios a configuraciones BCD/boot. Reduce las oportunidades de ejecución bloqueando o controlando estrictamente la carga de DLL no firmadas y aplicando políticas de control de aplicaciones en endpoints y servidores.
Respuesta
Cuando se identifican indicadores de SafePay, aísla inmediatamente los sistemas afectados, captura memoria volátil y preserva registros relevantes de autenticación, endpoints y red. Identifica y bloquea la infraestructura de comando y control asociada, luego termina los procesos maliciosos y elimina mecanismos de persistencia. Intenta acciones de recuperación como restaurar copias sombra donde sea posible, pero asume que el robo de datos podría haber ocurrido y valida el alcance de la exfiltración. Completa una revisión forense completa para determinar los datos impactados y ejecuta notificaciones a las partes interesadas y pasos de escalamiento alineados a los procedimientos de respuesta de doble extorsión.
Flujo de Ataque
Detecciones
Ejecución sospechosa de Bcdedit (vía cmdline)
Ver
Posible Preparación Pre-encriptación de PowerShell (RunAs + Inhibición de Recuperación) (vía powershell)
Ver
Posible Movimiento Lateral a través de PsExec o Similar (vía auditoría)
Ver
Ejecución de Comando WMI Usando Windows Remote Management (vía cmdline)
Ver
Actividad sospechosa de VSSADMIN (vía cmdline)
Ver
PsExec Lanzado por Padre en Espacio de Usuario en Carpetas Públicas (vía creación de proceso)
Ver
IOCs (Emails) para detectar: Inside SafePay: Analizando el Nuevo Grupo de Ransomware Centralizado
Ver
Ejecución de Ransomware SafePay a través de PsExec y Ejecución de DLL [Creación de Proceso en Windows]
Ver
Acceso Inicial de SafePay a través de Credenciales Comprometidas y FortiGate Mal Configurado [Firewall]
Ver
Archivos Encriptados por Ransomware SafePay con Extensión .safepay [Evento de Archivo en Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Pre-Flight de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa de Ataque y Comandos:
Un adversario con credenciales de Administrador de Dominio compromete una máquina de pivote y utiliza PsExec para lanzar uncmd.exeen un host secundario (TARGET_IP). Inmediatamente después de establecer el shell remoto, el atacante transfiere una DLL maliciosa (malicious.dll) al host remoto y la carga usando regsvr32.exe (alternativamente rundll32.exe) para ejecutar la carga útil de ransomware. La secuencia produce dos eventos de creación de procesos distintos que satisfacen la regla Sigma: un proceso de PsExec con la línea de comando exacta y un proceso de cargador de DLL subsecuente. -
Guion de Prueba de Regresión:
# ------------------------------------------------------------------------- # Simulación de Ransomware SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Prerrequisitos: # - PsExec.exe en el directorio actual o en PATH # - Una DLL maliciosa llamada malicious.dll colocada en la misma carpeta # - Credenciales válidas de administrador del dominio (reemplazar marcadores de posición) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- CAMBIAR A SU OBJETIVO $username = "DomainAdmin" # <--- CAMBIAR A USUARIO VÁLIDO $password = "Password123!" # <--- CAMBIAR A CONTRASEÑA VÁLIDA $dllPath = "$PSScriptRootmalicious.dll" # 1) Ejecutar cmd.exe remoto a través de PsExec Write-Host "[*] Iniciando cmd.exe remoto a través de PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # dar tiempo a la sesión remota para empezar # 2) Copiar la DLL maliciosa al host remoto (usando SMB) Write-Host "[*] Copiando la DLL maliciosa a host remoto..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Cargar la DLL a través de regsvr32 (esto genera el segundo evento) Write-Host "[*] Cargando la DLL maliciosa con regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Simulación completa. Verifique SIEM para alertas." -
Comandos de Limpieza:
# ------------------------------------------------------------------------- # Limpieza para la Simulación SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Eliminar la DLL maliciosa del host remoto Write-Host "[*] Eliminando la DLL maliciosa del host remoto..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # Opcionalmente terminar cualquier proceso regsvr32/rundll32 restante Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Limpieza completa."