Dans les Coulisses de SafePay : Analyse du Nouveau Groupe de Ransomware Centralisé
Detection stack
- AIDR
- Alert
- ETL
- Query
Résumé
SafePay est une opération de ransomware récemment apparue qui semble fonctionner comme un groupe centralisé et strictement contrôlé plutôt qu’un écosystème typique de Ransomware-as-a-Service. Les acteurs suivent un manuel de double extorsion, stockant les données sensibles avant le chiffrement et menaçant de les publier via un site de fuite basé sur Tor. La livraison implique généralement une DLL Windows native, avec exécution et propagation soutenues par des utilitaires de type living-off-the-land largement disponibles. Dans les cas observés, le calendrier de bout en bout est agressif, compressant souvent l’accès initial via le chiffrement de l’environnement dans une fenêtre de 24 heures environ.
Enquête
Les chercheurs rapportent que SafePay obtient souvent l’entrée grâce à des comptes VPN ou RDP exposés en utilisant des identifiants volés ou devinés, et dans certains scénarios, abuse des déploiements FortiGate mal configurés—en particulier dans des environnements dépourvus d’authentification MFA. Pour la persistance, les opérateurs ont été observés déployant des portes dérobées telles que QDoor et utilisant des outils d’administration à distance légitimes, y compris ScreenConnect, pour se fondre dans l’activité IT normale. Le déplacement latéral est typiquement conduit via PsExec et WinRM, tandis que la découverte des hôtes et des partages est supportée par une utilitaire PowerShell sur mesure (ShareFinder.ps1). Avant le chiffrement, la charge utile effectue des actions « pré-rançon » conçues pour maximiser l’impact et entraver la récupération : elle supprime les copies de sauvegarde, modifie les paramètres de configuration du démarrage, et termine un ensemble codé en dur de processus et services liés à la sécurité.
Atténuation
Exigez l’authentification MFA sur toutes les voies d’accès à distance et réduisez les risques de pare-feu en restreignant l’authentification des comptes locaux et en resserrant l’exposition administrative. Surveillez l’utilisation anormale de PsExec, WinRM, regsvr32 et rundll32—surtout dans des séquences cohérentes avec l’exécution à distance et la mise en scène. Ajustez les détections des points finaux pour faire apparaître la terminaison des outils de sécurité courants, la suppression des copies de sauvegarde, et les modifications des paramètres BCD/démarrage. Réduisez les opportunités d’exécution en bloquant ou contrôlant de manière stricte le chargement de DLL non signées et en appliquant des politiques de contrôle d’application sur les points finaux et les serveurs.
Réponse
Lorsque des indicateurs de SafePay sont identifiés, isolez immédiatement les systèmes affectés, capturez la mémoire volatile, et préservez les journaux d’authentification, de point de terminaison, et de réseau pertinents. Identifiez et bloquez l’infrastructure de commande et de contrôle associée, puis terminez les processus malveillants et supprimez les mécanismes de persistance. Tentez des actions de récupération comme restaurer les copies de sauvegarde quand possible, mais supposez que le vol de données a pu se produire et validez l’étendue de l’exfiltration. Effectuez un examen médico-légal complet pour déterminer les données impactées et exécutez les notifications aux parties prenantes et les étapes d’escalade alignées sur les procédures de réponse à la double extorsion.
Flux d’Attaque
Détections
Exécution Suspicious Bcdedit (via ligne de commande)
Voir
Préparation Possible de Pré‑Chiffrement PowerShell (RunAs + Inhibition de la Récupération) (via powershell)
Voir
Mouvement Latéral Possible via PsExec ou Similaire (via audit)
Voir
Exécution de Commande WMI Utilisant Windows Remote Management (via ligne de commande)
Voir
Activité Suspicious VSSADMIN (via ligne de commande)
Voir
PsExec Lancé par un Parent d’Espace Utilisateur dans les Dossiers Publics (via création de processus)
Voir
IOC (Emails) pour détecter : À l’intérieur de SafePay : Analyse du Nouveau Groupe de Ransomware Centralisé
Voir
Exécution Ransomware SafePay via PsExec et Exécution de DLL [Création de Processus Windows]
Voir
Accès Initial SafePay via Identifiants Compromis et FortiGate Mal Configuré [Pare-feu]
Voir
Fichiers Chiffrés Ransomware SafePay avec Extension .safepay [Événement de Fichier Windows]
Voir
Exécution de Simulation
Prérequis : La Vérification Préliminaire de la Télémétrie et de la Base de Référence doit avoir réussi.
Rationale : Cette section détaille l’exécution précise de la technique adversaire (TTP) conçue pour déclencher la règle de détection. Les commandes et le récit DOIVENT refléter directement les TTPs identifiés et visent à générer précisément la télémétrie attendue par la logique de détection.
-
Narrative de l’Attaque & Commandes :
Un adversaire disposant de droits d’administration de domaine compromet une machine pivot et utilise PsExec pour lancer uncmd.exeà distance sur un hôte secondaire (TARGET_IP). Immédiatement après avoir établi le shell distant, l’attaquant transfère une DLL malveillante (malicious.dll) à l’hôte distant et le charge en utilisant regsvr32.exe (alternativement rundll32.exe) pour exécuter la charge utile du ransomware. La séquence produit deux événements de création de processus distincts qui satisfont à la règle Sigma : un processus PsExec avec la ligne de commande exacte et un processus de chargeur de DLL subséquent. -
Script de Test de Régression :
# ------------------------------------------------------------------------- # Simulation Ransomware SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Prérequis: # - PsExec.exe dans le répertoire actuel ou dans le PATH # - Une DLL malveillante nommée malicious.dll placée dans le même dossier # - Identifiants d'administrateur de domaine valides (remplacez les espaces réservés) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- MODIFIER POUR VOTRE CIBLE $username = "DomainAdmin" # <--- MODIFIER POUR UN UTILISATEUR VALIDE $password = "Password123!" # <--- MODIFIER POUR UN MOT DE PASSE VALIDE $dllPath = "$PSScriptRootmalicious.dll" # 1) Exécuter cmd.exe à distance via PsExec Write-Host "[*] Lancement de cmd.exe à distance via PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # laisser la session distante démarrer # 2) Copier la DLL malveillante sur l'hôte distant (en utilisant SMB) Write-Host "[*] Copie de la DLL malveillante vers l'hôte distant..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Charger la DLL via regsvr32 (cela génère le deuxième événement) Write-Host "[*] Chargement de la DLL malveillante avec regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Simulation complète. Vérifiez les alertes SIEM." -
Commandes de Nettoyage :
# ------------------------------------------------------------------------- # Nettoyage pour la Simulation SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Supprimer la DLL malveillante de l'hôte distant Write-Host "[*] Suppression de la DLL malveillante de l'hôte distant..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # Terminer éventuellement les processus regsvr32/rundll32 qui persistent Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Nettoyage complet."