Dentro SafePay: Analisi del Nuovo Gruppo Centralizzato di Ransomware
Detection stack
- AIDR
- Alert
- ETL
- Query
Sommario
SafePay è un’operazione ransomware recentemente emersa che sembra essere gestita come un gruppo centralizzato e controllato piuttosto che come un tipico ecosistema di Ransomware-as-a-Service. Gli attori seguono una strategia di doppia estorsione, preparando dati sensibili prima della crittografia e minacciando la pubblicazione tramite un sito di leak basato su Tor. La consegna di solito coinvolge una DLL nativa di Windows, con esecuzione e propagazione supportate da utilità living-off-the-land ampiamente disponibili. Nei casi osservati, la timeline end-to-end è aggressiva, comprimendo spesso l’accesso iniziale attraverso la crittografia dell’intero ambiente in una finestra di circa 24 ore.
Indagine
I ricercatori riportano che SafePay spesso garantisce l’accesso tramite account VPN o RDP esposti utilizzando credenziali rubate o indovinate, e in alcuni scenari sfrutta implementazioni FortiGate mal configurate—particolarmente in ambienti privi di MFA. Per la persistenza, sono stati osservati gli operatori nel distribuire backdoor come QDoor e sfruttare strumenti di amministrazione remota legittimi, inclusi ScreenConnect, per integrarsi con le attività IT normali. Il movimento laterale è tipicamente guidato attraverso PsExec e WinRM, mentre la scoperta di host e condivisioni è supportata da un’utility PowerShell personalizzata (ShareFinder.ps1). Prima della crittografia, il payload esegue azioni “pre-ransom” progettate per massimizzare l’impatto e ostacolare il recupero: rimuove copie shadow, altera le impostazioni di configurazione del boot e termina un set di processi e servizi legati alla sicurezza.
Mitigazione
Richiedere MFA su tutti i percorsi di accesso remoto e ridurre il rischio del firewall limitando l’autenticazione degli account locali e restringendo l’esposizione amministrativa. Monitorare l’uso anomalo di PsExec, WinRM, regsvr32 e rundll32—soprattutto in sequenze consistenti con l’esecuzione remota e la messa in scena. Regolare rilevamenti endpoint per rilevare la terminazione di strumenti di sicurezza comuni, l’eliminazione di copie shadow e le modifiche alle impostazioni BCD/boot. Ridurre le opportunità di esecuzione bloccando o controllando rigorosamente il caricamento di DLL non firmate e applicando politiche di controllo delle applicazioni tra endpoint e server.
Risposta
Quando vengono identificati indicatori di SafePay, isolare immediatamente i sistemi interessati, acquisire memoria volatile e preservare i log rilevanti di autenticazione, endpoint e rete. Identificare e bloccare l’infrastruttura di comando e controllo associata, poi terminare i processi malevoli e rimuovere i meccanismi di persistenza. Tentare azioni di recupero come il ripristino delle copie shadow dove possibile, ma supporre che possa essersi verificato un furto di dati e convalidare l’ambito dell’esfiltrazione. Completare una revisione forense completa per determinare i dati impattati ed eseguire notifiche e passaggi di escalation agli stakeholder in linea con le procedure di risposta alla doppia estorsione.
Flusso dell’Attacco
Rilevamenti
Esecuzione Bcdedit Sospetta (tramite cmdline)
Visualizza
Possibile Preparazione Pre-Crittografia di PowerShell (RunAs + Inibizione del Recupero) (tramite powershell)
Visualizza
Possibile Movimento Laterale tramite PsExec o Simile (tramite audit)
Visualizza
Esecuzione Comandi WMI Usando Gestione Remota di Windows (tramite cmdline)
Visualizza
Attività VSSADMIN Sospetta (tramite cmdline)
Visualizza
PsExec Avviato da Genitore nello Spazio Utente nelle Cartelle Pubbliche (tramite process_creation)
Visualizza
IOC (Email) da rilevare: All’interno di SafePay: Analisi del Nuovo Gruppo di Ransomware Centralizzato
Visualizza
Esecuzione Ransomware SafePay tramite PsExec e Esecuzione DLL [Creazione Processo Windows]
Visualizza
Accesso Iniziale di SafePay tramite Credenziali Compromesse e FortiGate Mal Configurato [Firewall]
Visualizza
File Crittografati Ransomware SafePay con Estensione .safepay [Evento File Windows]
Visualizza
Esecuzione della Simulazione
Prerequisito: Il Controllo di Telemetria & Baseline Pre-flight deve essere superato.
Motivazione: Questa sezione dettaglia l’esecuzione precisa della tecnica avversaria (TTP) progettata per attivare la regola di rilevamento. I comandi e la narrativa DEVONO riflettere direttamente i TTP identificati e mirare a generare la telemetria esatta prevista dalla logica di rilevamento.
-
Narrativa dell’Attacco & Comandi:
Un avversario con credenziali di Amministratore di Dominio compromette una macchina di pivot e utilizza PsExec per lanciare un remotocmd.exesu un host secondario (TARGET_IP). Immediatamente dopo aver stabilito la shell remota, l’attaccante trasferisce una DLL malevola (malicious.dll) sull’host remoto e la carica usando regsvr32.exe (alternativamente rundll32.exe) per eseguire il payload ransomware. La sequenza produce due eventi distinti di creazione di processo che soddisfano la regola Sigma: un processo PsExec con la linea di comando esatta e un successivo processo di caricamento DLL. -
Script di Test di Regressione:
# ------------------------------------------------------------------------- # Simulazione Ransomware SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Prerequisiti: # - PsExec.exe nella directory corrente o in PATH # - Una DLL malevola chiamata malicious.dll posizionata nella stessa cartella # - Credenziali di amministratore del dominio valide (sostituire i segnaposto) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- MODIFICARE CON IL PROPRIO TARGET $username = "DomainAdmin" # <--- MODIFICARE CON UN UTENTE VALIDO $password = "Password123!" # <--- MODIFICARE CON UNA PASSWORD VALIDA $dllPath = "$PSScriptRootmalicious.dll" # 1) Esecuzione remota di cmd.exe tramite PsExec Write-Host "[*] Lancio di cmd.exe remoto tramite PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # dare tempo alla sessione remota di avviarsi # 2) Copiare la DLL malevola sull'host remoto (usando SMB) Write-Host "[*] Copiando la DLL malevola sull'host remoto..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Caricare la DLL tramite regsvr32 (questo genera il secondo evento) Write-Host "[*] Caricamento della DLL malevola con regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Simulazione completata. Controllare SIEM per avvisi." -
Comandi di Pulizia:
# ------------------------------------------------------------------------- # Pulizia per Simulazione SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Rimuovere la DLL malevola dall'host remoto Write-Host "[*] Rimuovendo la DLL malevola dall'host remoto..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # Eventualmente terminare eventuali processi regsvr32/rundll32 in sospeso Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Pulizia completata."