Dentro do SafePay: Analisando o Novo Grupo de Ransomware Centralizado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
SafePay é uma operação de ransomware recentemente surgida que parece operar como um grupo centralizado e controlado de forma rígida, em vez de um ecossistema típico de Ransomware como Serviço. Os atores seguem um roteiro de dupla extorsão, preparando dados confidenciais antes da criptografia e ameaçando a publicação por meio de um site de vazamentos baseado em Tor. A entrega geralmente envolve um DLL nativo do Windows, com execução e propagação apoiadas por utilitários amplamente disponíveis de living-off-the-land. Em casos observados, a linha do tempo de ponta a ponta é agressiva, frequentemente comprimindo o acesso inicial por meio de criptografia em todo o ambiente em uma janela de cerca de 24 horas.
Investigação
Pesquisadores relatam que o SafePay frequentemente assegura a entrada por meio de contas VPN ou RDP expostas usando credenciais roubadas ou adivinhadas, e em alguns cenários abusa de implantações FortiGate mal configuradas—particularmente em ambientes sem MFA. Para persistência, foi observado que os operadores implantam backdoors como QDoor e aproveitam ferramentas legítimas de administração remota, incluindo ScreenConnect, para se misturar à atividade normal de TI. O movimento lateral é tipicamente impulsionado por meio do PsExec e WinRM, enquanto a descoberta de hosts e compartilhamentos é suportada por uma utilidade PowerShell personalizada (ShareFinder.ps1). Antes da criptografia, o payload executa ações “pré-resgate” projetadas para maximizar o impacto e dificultar a recuperação: remove cópias de sombra, altera configurações de inicialização e termina um conjunto codificado de processos e serviços relacionados à segurança.
Mitigação
Exigir MFA em todas as vias de acesso remoto e reduzir o risco de firewall restringindo a autenticação de contas locais e apertando a exposição administrativa. Monitorar o uso anômalo de PsExec, WinRM, regsvr32, e rundll32—especialmente em sequências consistentes com execução remota e preparação. Ajustar as detecções de endpoint para revelar a terminação de ferramentas de segurança comuns, exclusão de cópias de sombra e mudanças nas configurações de BCD/boot. Reduzir oportunidades de execução bloqueando ou controlando rigorosamente o carregamento de DLLs não assinadas e aplicando políticas de controle de aplicativos em endpoints e servidores.
Resposta
Quando indicadores de SafePay são identificados, isolar imediatamente os sistemas afetados, capturar memória volátil e preservar logs de autenticação, endpoint e rede relevantes. Identificar e bloquear a infraestrutura de comando e controle associada, depois terminar processos maliciosos e remover mecanismos de persistência. Tentar ações de recuperação como restaurar cópias de sombra quando viável, mas assumir que pode ter ocorrido furto de dados e validar o escopo de exfiltração. Completar uma revisão forense completa para determinar os dados impactados e executar notificações a partes interessadas e etapas de escalonamento alinhadas aos procedimentos de resposta a dupla extorsão.
Fluxo de Ataque
Detecções
Execução Suspeita do Bcdedit (via linha de comando)
Visualizar
Possível Preparação Pré-Criptografia via PowerShell (RunAs + Inibição de Recuperação) (via powershell)
Visualizar
Possível Movimento Lateral via PsExec ou Similar (via auditoria)
Visualizar
Execução de Comando WMI Usando o Gerenciamento Remoto do Windows (via linha de comando)
Visualizar
Atividade Suspeita do VSSADMIN (via linha de comando)
Visualizar
PsExec Iniciado por Processo de Usuário em Pastas Públicas (via criação de processo)
Visualizar
IOCs (Emails) para detectar: Inside SafePay: Analisando o Novo Grupo de Ransomware Centralizado
Visualizar
Execução do Ransomware SafePay via PsExec e Execução de DLL [Criação de Processo do Windows]
Visualizar
Acesso Inicial do SafePay via Credenciais Comprometidas e FortiGate Mal Configurado [Firewall]
Visualizar
Arquivos Criptografados do Ransomware SafePay com Extensão .safepay [Evento de Arquivo do Windows]
Visualizar
Execução de Simulação
Pré-requisito: O Verificação de Pré-Voo de Telemetria & Linha de Base deve ter passado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o narrativo DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa do Ataque & Comandos:
Um adversário com credenciais de Administrador de Domínio compromete uma máquina de pivô e usa PsExec para lançar umcmd.exeremoto em um host secundário (TARGET_IP). Imediatamente após estabelecer o shell remoto, o atacante transfere uma DLL maliciosa (malicious.dll) para o host remoto e a carrega usando regsvr32.exe (alternativamente rundll32.exe) para executar o payload do ransomware. A sequência produz dois eventos distintos de criação de processo que satisfazem a regra Sigma: um processo PsExec com a linha de comando exata e um processo subsequente de carregamento de DLL. -
Script de Teste de Regressão:
# ------------------------------------------------------------------------- # Simulação de Ransomware SafePay – PsExec + Regsvr32 # ------------------------------------------------------------------------- # Pré-requisitos: # - PsExec.exe no diretório atual ou no PATH # - Uma DLL maliciosa chamada malicious.dll colocada na mesma pasta # - Credenciais de administrador de domínio válidas (substitua os marcadores de posição) # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" # <--- ALTERE PARA SEU DESTINO $username = "DomainAdmin" # <--- ALTERE PARA USUÁRIO VÁLIDO $password = "Password123!" # <--- ALTERE PARA SENHA VÁLIDA $dllPath = "$PSScriptRootmalicious.dll" # 1) Execute cmd.exe remoto via PsExec Write-Host "[*] Iniciando cmd.exe remoto via PsExec..." $psexecArgs = "$targetIP -u $username -p $password cmd.exe" & .PsExec.exe $psexecArgs Start-Sleep -Seconds 5 # dê tempo para sessão remota iniciar # 2) Copiar a DLL maliciosa para o host remoto (usando SMB) Write-Host "[*] Copiando DLL maliciosa para o host remoto..." $destPath = "$targetIPC$Tempmalicious.dll" Copy-Item -Path $dllPath -Destination $destPath -Force # 3) Carregar a DLL via regsvr32 (isso gera o segundo evento) Write-Host "[*] Carregando DLL maliciosa com regsvr32..." $regsvrArgs = "/s $destPath" & regsvr32.exe $regsvrArgs Write-Host "[+] Simulação completa. Verifique alertas no SIEM." -
Comandos de Limpeza:
# ------------------------------------------------------------------------- # Limpeza para Simulação SafePay # ------------------------------------------------------------------------- $targetIP = "10.0.0.20" $dllRemote = "$targetIPC$Tempmalicious.dll" # Remover a DLL maliciosa do host remoto Write-Host "[*] Removendo DLL maliciosa do host remoto..." Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue # Opcionalmente, termine quaisquer processos persistentes de regsvr32/rundll32 Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue | Where-Object {$_.Path -like "*$targetIP*"} | Stop-Process -Force Write-Host "[+] Limpeza completa."