SOC Prime Bias: Alto

14 Jan 2026 16:49 UTC

Dentro do SafePay: Analisando o Novo Grupo de Ransomware Centralizado

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
Dentro do SafePay: Analisando o Novo Grupo de Ransomware Centralizado
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

SafePay é uma operação de ransomware recentemente surgida que parece operar como um grupo centralizado e controlado de forma rígida, em vez de um ecossistema típico de Ransomware como Serviço. Os atores seguem um roteiro de dupla extorsão, preparando dados confidenciais antes da criptografia e ameaçando a publicação por meio de um site de vazamentos baseado em Tor. A entrega geralmente envolve um DLL nativo do Windows, com execução e propagação apoiadas por utilitários amplamente disponíveis de living-off-the-land. Em casos observados, a linha do tempo de ponta a ponta é agressiva, frequentemente comprimindo o acesso inicial por meio de criptografia em todo o ambiente em uma janela de cerca de 24 horas.

Investigação

Pesquisadores relatam que o SafePay frequentemente assegura a entrada por meio de contas VPN ou RDP expostas usando credenciais roubadas ou adivinhadas, e em alguns cenários abusa de implantações FortiGate mal configuradas—particularmente em ambientes sem MFA. Para persistência, foi observado que os operadores implantam backdoors como QDoor e aproveitam ferramentas legítimas de administração remota, incluindo ScreenConnect, para se misturar à atividade normal de TI. O movimento lateral é tipicamente impulsionado por meio do PsExec e WinRM, enquanto a descoberta de hosts e compartilhamentos é suportada por uma utilidade PowerShell personalizada (ShareFinder.ps1). Antes da criptografia, o payload executa ações “pré-resgate” projetadas para maximizar o impacto e dificultar a recuperação: remove cópias de sombra, altera configurações de inicialização e termina um conjunto codificado de processos e serviços relacionados à segurança.

Mitigação

Exigir MFA em todas as vias de acesso remoto e reduzir o risco de firewall restringindo a autenticação de contas locais e apertando a exposição administrativa. Monitorar o uso anômalo de PsExec, WinRM, regsvr32, e rundll32—especialmente em sequências consistentes com execução remota e preparação. Ajustar as detecções de endpoint para revelar a terminação de ferramentas de segurança comuns, exclusão de cópias de sombra e mudanças nas configurações de BCD/boot. Reduzir oportunidades de execução bloqueando ou controlando rigorosamente o carregamento de DLLs não assinadas e aplicando políticas de controle de aplicativos em endpoints e servidores.

Resposta

Quando indicadores de SafePay são identificados, isolar imediatamente os sistemas afetados, capturar memória volátil e preservar logs de autenticação, endpoint e rede relevantes. Identificar e bloquear a infraestrutura de comando e controle associada, depois terminar processos maliciosos e remover mecanismos de persistência. Tentar ações de recuperação como restaurar cópias de sombra quando viável, mas assumir que pode ter ocorrido furto de dados e validar o escopo de exfiltração. Completar uma revisão forense completa para determinar os dados impactados e executar notificações a partes interessadas e etapas de escalonamento alinhadas aos procedimentos de resposta a dupla extorsão.

Fluxo de Ataque

Execução de Simulação

Pré-requisito: O Verificação de Pré-Voo de Telemetria & Linha de Base deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e o narrativo DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um adversário com credenciais de Administrador de Domínio compromete uma máquina de pivô e usa PsExec para lançar um cmd.exe remoto em um host secundário (TARGET_IP). Imediatamente após estabelecer o shell remoto, o atacante transfere uma DLL maliciosa (malicious.dll) para o host remoto e a carrega usando regsvr32.exe (alternativamente rundll32.exe) para executar o payload do ransomware. A sequência produz dois eventos distintos de criação de processo que satisfazem a regra Sigma: um processo PsExec com a linha de comando exata e um processo subsequente de carregamento de DLL.

  • Script de Teste de Regressão:

    # -------------------------------------------------------------------------
    # Simulação de Ransomware SafePay – PsExec + Regsvr32
    # -------------------------------------------------------------------------
    # Pré-requisitos:
    #   - PsExec.exe no diretório atual ou no PATH
    #   - Uma DLL maliciosa chamada malicious.dll colocada na mesma pasta
    #   - Credenciais de administrador de domínio válidas (substitua os marcadores de posição)
    # -------------------------------------------------------------------------
    
    $targetIP   = "10.0.0.20"            # <--- ALTERE PARA SEU DESTINO
    $username   = "DomainAdmin"        # <--- ALTERE PARA USUÁRIO VÁLIDO
    $password   = "Password123!"        # <--- ALTERE PARA SENHA VÁLIDA
    $dllPath    = "$PSScriptRootmalicious.dll"
    
    # 1) Execute cmd.exe remoto via PsExec
    Write-Host "[*] Iniciando cmd.exe remoto via PsExec..."
    $psexecArgs = "$targetIP -u $username -p $password cmd.exe"
    & .PsExec.exe $psexecArgs
    
    Start-Sleep -Seconds 5  # dê tempo para sessão remota iniciar
    
    # 2) Copiar a DLL maliciosa para o host remoto (usando SMB)
    Write-Host "[*] Copiando DLL maliciosa para o host remoto..."
    $destPath = "$targetIPC$Tempmalicious.dll"
    Copy-Item -Path $dllPath -Destination $destPath -Force
    
    # 3) Carregar a DLL via regsvr32 (isso gera o segundo evento)
    Write-Host "[*] Carregando DLL maliciosa com regsvr32..."
    $regsvrArgs = "/s $destPath"
    & regsvr32.exe $regsvrArgs
    
    Write-Host "[+] Simulação completa. Verifique alertas no SIEM."
  • Comandos de Limpeza:

    # -------------------------------------------------------------------------
    # Limpeza para Simulação SafePay
    # -------------------------------------------------------------------------
    $targetIP = "10.0.0.20"
    $dllRemote = "$targetIPC$Tempmalicious.dll"
    
    # Remover a DLL maliciosa do host remoto
    Write-Host "[*] Removendo DLL maliciosa do host remoto..."
    Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue
    
    # Opcionalmente, termine quaisquer processos persistentes de regsvr32/rundll32
    Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
        Where-Object {$_.Path -like "*$targetIP*"} |
        Stop-Process -Force
    
    Write-Host "[+] Limpeza completa."