SOC Prime Bias: Високий

14 Jan 2026 16:49 UTC

Внутрішній огляд SafePay: Аналіз нової централізованої групи програм-вимагателів

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
Внутрішній огляд SafePay: Аналіз нової централізованої групи програм-вимагателів
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

SafePay – це нещодавно з’явилася операція програми-вимагача, яка працює як жорстко контрольована, центральна група, а не типовий екосистема програми-вимагача як послуга. Актори слідують стратегії подвійного здирництва, інсценуючи конфіденційні дані перед шифруванням та загрожуючи їх публікацією через веб-сайт на основі Tor. Доставка зазвичай включає рідну бібліотеку DLL для Windows, із виконанням та поширенням, підтриманими широко доступними утилітами для життя в межах системи. У спостережуваних випадках хронологія від початку до кінця є агресивною, часто стискаючи початковий доступ через шифрування всієї системи у приблизно 24-годинне вікно.

Розслідування

Дослідники повідомляють, що SafePay часто забезпечує вхід через відкриті облікові записи VPN або RDP із використанням вкрадених або вгаданих облікових даних, а в деяких сценаріях зловживає неправильно налаштованими розгортаннями FortiGate, особливо у середовищах без MFA. Для збереження доступу оператори спостерігалися при розгортанні бекдорів, таких як QDoor, та використанні легального інструментарію віддаленого адміністрування, включаючи ScreenConnect, щоб змішатися з нормальною IT-активністю. Бічний рух зазвичай здійснюється через PsExec та WinRM, тоді як виявлення комп’ютерів та загальних ресурсів підтримується спеціальним утилітом PowerShell (ShareFinder.ps1). Перед шифруванням навантаження виконує «предздирницькі» дії, призначені для максимізації впливу та ускладнення відновлення: вона видаляє тіньові копії, змінює налаштування конфігурації завантаження та завершує жорстко закодований набір процесів та служб, пов’язаних із безпекою.

Мітигація

Вимагайте MFA для всіх шляхів віддаленого доступу та знижуйте ризик в межах фаєрволу шляхом обмеження аутентифікації локальних облікових записів та зменшення адміністративного впливу. Моніторте аномальне використання PsExec, WinRM, regsvr32 та rundll32 – особливо у послідовностях, що відповідають віддаленому виконанню та інсценуванню. Налаштуйте виявлення кінцевих точок, щоб показати завершення звичайного інструментарію безпеки, видалення тіньових копій та зміни налаштувань BCD/завантаження. Зменшуйте можливості виконання шляхом блокування або жорсткого контролю завантаження непідписаних DLL та запровадження політики контролю додатків на кінцевих точках та серверах.

Реакція

Коли виявлені індикатори SafePay, ізолюйте уражені системи негайно, захопіть мінливу пам’ять та збережіть відповідні журнали аутентифікації, кінцевих точок та мережі. Визначте та заблокуйте пов’язану командно-контрольну інфраструктуру, потім завершіть зловмисні процеси та видаліть механізми збереження доступу. Спробуйте заходи відновлення, такі як відновлення тіньових копій, де це можливо, але припускайте, що крадіжка даних могла статися, і перевірте обсяг ексфільтрації. Проведіть повне судово-медичне розслідування, щоб визначити уражені дані та виконайте повідомлення зацікавлених сторін та кроки ескалації, узгоджені з процедурами реагування на подвійне здирництво.

Потік атаки

Виявлення

Підозріле виконання Bcdedit (через cmdline)

Команда SOC Prime, Нейт Гуадженті
14 січня 2026

Можлива підготовка PowerShell до шифрування (RunAs + Запобігання відновленню) (через powerShell)

Команда SOC Prime
14 січня 2026

Можливий бічний рух через PsExec або подібні інструменти (через audit)

Команда SOC Prime
14 січня 2026

Виконання команди WMI за допомогою Windows Remote Management (через cmdline)

Команда SOC Prime
14 січня 2026

Підозріла активність VSSADMIN (через cmdline)

Команда SOC Prime
14 січня 2026

PsExec запущений родительським процесом в публічних папках (через створення процесу)

Команда SOC Prime
14 січня 2026

Індикатори компрометації (Emails) для виявлення: Внутрішня частина SafePay: Аналіз нової централізованої групи-вимагача

Правила AI SOC Prime
14 січня 2026

Виконання SafePay за допомогою PsExec та виконання DLL [Створення процесу Windows]

Правила AI SOC Prime
14 січня 2026

Початковий доступ SafePay через скомпрометовані облікові дані та неправильно налаштований FortiGate [Фаєрвол]

Правила AI SOC Prime
14 січня 2026

Зашифровані файли програми-вимагача SafePay з розширенням .safepay [Подія файлу Windows]

Правила AI SOC Prime
14 січня 2026

Виконання симуляції

Передумови: Перевірка телеметрії та базових показників повинна бути пройдена.

Обґрунтування: Цей розділ деталізує точне виконання техніки противника (TTP), розробленої для виклику правила виявлення. Команди та розповідь МАЮТЬ безпосередньо відображати ідентифіковані TTP та прагнути генерувати точну телеметрію, яку очікує логіка виявлення.

  • Розповідь та команди атаки:
    Суперник з обліковими даними адміністратора домену компрометує проміжну машину та використовує PsExec щоб запустити віддалену cmd.exe на вторинному хості (TARGET_IP). Відразу після встановлення віддаленої оболонки, нападник передає зловмисну DLL (malicious.dll) на віддалений хост і завантажує його за допомогою regsvr32.exe (альтернативно rundll32.exe) для виконання навантаження програми-вимагача. Послідовність генерує дві різні події створення процесу, які відповідають праву Sigma: процес PsExec з точним командним рядком і наступний процес завантажувача DLL.

  • Скрипт регресійного тестування:

    # -------------------------------------------------------------------------
    # Симуляція програми-вимагача SafePay – PsExec + Regsvr32
    # -------------------------------------------------------------------------
    # Передумови:
    #   - PsExec.exe у поточній директорії або в PATH
    #   - Зловмисна DLL з назвою malicious.dll розміщена в тій самій папці
    #   - Дійсні облікові дані адміністратора домену (замініть заповнювачі)
    # -------------------------------------------------------------------------
    
    $targetIP   = "10.0.0.20"            # <--- ЗМІНІТЬ НА СВІЙ ЦІЛЬОВИЙ АДРЕС
    $username   = "DomainAdmin"        # <--- ЗМІНІТЬ НА ДІЙСНОГО КОРИСТУВАЧА
    $password   = "Password123!"        # <--- ЗМІНІТЬ НА ДІЙСНИЙ ПАРОЛЬ
    $dllPath    = "$PSScriptRootmalicious.dll"
    
    # 1) Виконайте віддалений cmd.exe за допомогою PsExec
    Write-Host "[*] Запуск віддаленого cmd.exe через PsExec..."
    $psexecArgs = "$targetIP -u $username -p $password cmd.exe"
    & .PsExec.exe $psexecArgs
    
    Start-Sleep -Seconds 5  # дайте віддаленій сесії час на запуск
    
    # 2) Скопіюйте зловмисну DLL на віддалений хост (використовуючи SMB)
    Write-Host "[*] Копіювання зловмисної DLL на віддалений хост..."
    $destPath = "$targetIPC$Tempmalicious.dll"
    Copy-Item -Path $dllPath -Destination $destPath -Force
    
    # 3) Завантажте DLL через regsvr32 (це генерує другу подію)
    Write-Host "[*] Завантаження зловмисної DLL із regsvr32..."
    $regsvrArgs = "/s $destPath"
    & regsvr32.exe $regsvrArgs
    
    Write-Host "[+] Симуляція завершена. Перевірте SIEM на наявність сповіщень."
  • Команди очистки:

    # -------------------------------------------------------------------------
    # Очистка для симуляції SafePay
    # -------------------------------------------------------------------------
    $targetIP = "10.0.0.20"
    $dllRemote = "$targetIPC$Tempmalicious.dll"
    
    # Видалити зловмисну DLL з віддаленого хоста
    Write-Host "[*] Видалення зловмисної DLL з віддаленого хоста..."
    Remove-Item -Path $dllRemote -Force -ErrorAction SilentlyContinue
    
    # За необхідності завершити будь-які залишкові процеси regsvr32/rundll32
    Get-Process -Name regsvr32, rundll32 -ErrorAction SilentlyContinue |
        Where-Object {$_.Path -like "*$targetIP*"} |
        Stop-Process -Force
    
    Write-Host "[+] Очистка завершена."