SOC Prime Bias: Alto

14 Jan 2026 16:49 UTC

Dentro SafePay: Analisi del Nuovo Gruppo Centralizzato di Ransomware

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
Dentro SafePay: Analisi del Nuovo Gruppo Centralizzato di Ransomware
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

SafePay è un’operazione ransomware recentemente emersa che sembra essere gestita come un gruppo centralizzato e controllato piuttosto che come un tipico ecosistema di Ransomware-as-a-Service. Gli attori seguono una strategia di doppia estorsione, preparando dati sensibili prima della crittografia e minacciando la pubblicazione tramite un sito di leak basato su Tor. La consegna di solito coinvolge una DLL nativa di Windows, con esecuzione e propagazione supportate da utilità living-off-the-land ampiamente disponibili. Nei casi osservati, la timeline end-to-end è aggressiva, comprimendo spesso l’accesso iniziale attraverso la crittografia dell’intero ambiente in una finestra di circa 24 ore.

Indagine

I ricercatori riportano che SafePay spesso garantisce l’accesso tramite account VPN o RDP esposti utilizzando credenziali rubate o indovinate, e in alcuni scenari sfrutta implementazioni FortiGate mal configurate—particolarmente in ambienti privi di MFA. Per la persistenza, sono stati osservati gli operatori nel distribuire backdoor come QDoor e sfruttare strumenti di amministrazione remota legittimi, inclusi ScreenConnect, per integrarsi con le attività IT normali. Il movimento laterale è tipicamente guidato attraverso PsExec e WinRM, mentre la scoperta di host e condivisioni è supportata da un’utility PowerShell personalizzata (ShareFinder.ps1). Prima della crittografia, il payload esegue azioni “pre-ransom” progettate per massimizzare l’impatto e ostacolare il recupero: rimuove copie shadow, altera le impostazioni di configurazione del boot e termina un set di processi e servizi legati alla sicurezza.

Mitigazione

Richiedere MFA su tutti i percorsi di accesso remoto e ridurre il rischio del firewall limitando l’autenticazione degli account locali e restringendo l’esposizione amministrativa. Monitorare l’uso anomalo di PsExec, WinRM, regsvr32 e rundll32—soprattutto in sequenze consistenti con l’esecuzione remota e la messa in scena. Regolare rilevamenti endpoint per rilevare la terminazione di strumenti di sicurezza comuni, l’eliminazione di copie shadow e le modifiche alle impostazioni BCD/boot. Ridurre le opportunità di esecuzione bloccando o controllando rigorosamente il caricamento di DLL non firmate e applicando politiche di controllo delle applicazioni tra endpoint e server.

Risposta

Quando vengono identificati indicatori di SafePay, isolare immediatamente i sistemi interessati, acquisire memoria volatile e preservare i log rilevanti di autenticazione, endpoint e rete. Identificare e bloccare l’infrastruttura di comando e controllo associata, poi terminare i processi malevoli e rimuovere i meccanismi di persistenza. Tentare azioni di recupero come il ripristino delle copie shadow dove possibile, ma supporre che possa essersi verificato un furto di dati e convalidare l’ambito dell’esfiltrazione. Completare una revisione forense completa per determinare i dati impattati ed eseguire notifiche e passaggi di escalation agli stakeholder in linea con le procedure di risposta alla doppia estorsione.

Flusso dell’Attacco

Esecuzione della Simulazione

Prerequisito: Il Controllo di Telemetria & Baseline Pre-flight deve essere superato.

Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.

  • Narrativa dell’Attacco & Comandi:
    Un avversario con credenziali di Amministratore di Dominio compromette una macchina di pivot e utilizza PsExec per lanciare un remoto cmd.exe su un host secondario (TARGET_IP). Immediatamente dopo aver stabilito la shell remota, l’attaccante trasferisce una DLL malevola (malicious.dll) sull’host remoto e la carica usando regsvr32.exe (alternativamente rundll32.exe) per eseguire il payload ransomware. La sequenza produce due eventi distinti di creazione di processo che soddisfano la regola Sigma: un processo PsExec con la linea di comando esatta e un successivo processo di caricamento DLL.

  • Script di Test di Regressione:

    # -------------------------------------------------------------------------
    # Simulazione Ransomware SafePay – PsExec + Regsvr32
    # -------------------------------------------------------------------------
    # Prerequisiti:
    #   - PsExec.exe nella directory corrente o in PATH
    #   - Una DLL malevola chiamata malicious.dll posizionata nella stessa cartella
    #   - Credenziali di amministratore del dominio valide (sostituire i segnaposto)
    # -------------------------------------------------------------------------
    
    $targetIP   = "10.0.0.20"            # <--- MODIFICARE CON IL PROPRIO TARGET
    $username   = "DomainAdmin"        # <--- MODIFICARE CON UN UTENTE VALIDO
    $password   = "Password123!"        # <--- MODIFICARE CON UNA PASSWORD VALIDA
    $dllPath    = "$PSScriptRootmalicious.dll"
    
    # 1) Esecuzione remota di cmd.exe tramite PsExec
    Write-Host "[*] Lancio di cmd.exe remoto tramite PsExec..."
    $psexecArgs = "$targetIP -u $username -p $password cmd.exe"
    & .PsExec.exe $psexecArgs
    
    Start-Sleep -Seconds 5  # dare tempo alla sessione remota di avviarsi
    
    # 2) Copiare la DLL malevola sull'host remoto (usando SMB)
    Write-Host "[*] Copiando la DLL malevola sull'host remoto..."
    $destPath = "$targetIPC$Tempmalicious.dll"
    Copy-Item -Path $dllPath -Destination $destPath -Force
    
    # 3) Caricare la DLL tramite regsvr32 (questo genera il secondo evento)
    Write-Host "[*] Caricamento della DLL malevola con regsvr32..."
    $regsvrArgs = "/s $destPath"
    & regsvr32.exe $regsvrArgs
    
    Write-Host "[+] Simulazione completata. Controllare SIEM per avvisi."
  • Comandi di Pulizia:

    # -------------------------------------------------------------------------
    # Pulizia per Simulazione SafePay
    # -------------------------------------------------------------------------
    $targetIP = "10.0.0.20"
    $dllRemote = "$targetIPC$Tempmalicious.dll"
    
    # Rimuovere la DLL malevola dall'host remoto
    Write-Host "[*] Rimuovendo la DLL malevola dall'host remoto..."
    Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue
    
    # Eventualmente terminare eventuali processi regsvr32/rundll32 in sospeso
    Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
        Where-Object {$_.Path -like "*$targetIP*"} |
        Stop-Process -Force
    
    Write-Host "[+] Pulizia completata."