Ransomware Safepay
Un nuevo ransomware ha aparecido en escena, destacándose por sus múltiples ataques hasta el momento de su detección. Los principales sectores afectados son: Salud - Alimentos y bebidas - Venta minorista - Fabricación - Servicios - Educación - Construcción - Energía y recursos naturales - Logística.
El nuevo ransomware, llamado SafePay, cobró su primera víctima en septiembre de 2024, pero no fue hasta octubre cuando comenzó a hacerse visible y a ser investigado debido a varios incidentes. Finalmente, en noviembre se reveló su identidad y tomó notoriedad, ya que este grupo afectó a una empresa de tecnología que ofrece soluciones para el manejo de flotillas y telemática. [1] [2]
A pesar de su detección reciente y de ser nuevo en la escena de los ransomwares, SafePay utiliza tácticas y códigos de otros grupos, como LockBit, ya que se observó que emplea un código filtrado de dicho ransomware, pero de una muestra de 2022. También adopta elementos de otros ransomwares como BlackCat. El hecho de reutilizar código de otros ransomwares y muestras ya muy analizadas, como es el caso de LockBit 2022, debilita su encriptación, facilitando la realización de ingeniería inversa. Este fue precisamente el caso: el equipo de investigación de Huntress (responsable de detectar a este grupo) logró realizar ingeniería inversa al ransomware, ya que las cadenas de texto del archivo binario están ofuscadas de manera sencilla. [1] [2]
El ransomware emplea tácticas de doble extorsión, al igual que otros grupos, exfiltrando información antes de encriptarla para luego amenazar a la víctima con exponer toda la información recopilada si no se paga por la llave de descifrado. Los datos son publicados en su sitio de filtraciones. A día de hoy, 02 de diciembre del 2024, el grupo ha publicado información de 32 víctimas, dejando en claro la peligrosidad del ransomware y su capacidad de propagación, a pesar de reutilizar códigos ampliamente analizados. [1] [2]
Imagen del sitio de filtraciones de safepay [3]
Imagen de la nota de rescate [3]
Taxnomia MITRE ATT&CK:
|
Tactica |
ID |
Nombre |
|
Execution |
T1059 |
Command and Scripting Interpreter |
|
T1059.001 |
Powershell |
|
|
T1059.003 |
Windows Command Shell |
|
|
Privilege Escalation |
T1548.002 |
Abuse Elevation Control Mechanism: Bypass User Account Control |
|
Defense Evasion |
T1202 |
System Binary Proxy Execution |
|
T1070.004 |
File Removal |
|
|
T1562.001 |
Impair Defenses: Disable or Modify Tools |
|
|
Discovery |
T1135 |
Network Share Discovery |
|
Collection |
T1560.001 |
Archive Collected Data: Archive via Utility |
|
Exfiltration |
T1048 |
Exfiltration Over Alternative Protocol |
|
Impact |
T1486 |
Data Encrypted for Impact |
|
T1490 |
Inhibit System Recovery |
Indicadores de Compromiso:
|
Ioc |
Tipo |
|
77.37.49.40 |
IP |
|
45.91.201.247 |
IP |
|
a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 |
SHA-256 |
|
iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion |
Dominio |
|
qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion |
Dominio |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
-
French, L. (2024. Noviembre 18) Upstart SafePay ransomware group uses LockBit builder, claims 22 victims. Recuperado el 29 de noviembre del 2024 en: https://www.scworld.com/news/safepay-ransomware-obscure-group-uses-lockbit-builder-claims-22-victims
-
Huntress. (2024, Noviembre 14) It’s Not Safe to Pay SafePay. Recuperado el 29 de noviembre del 2024 en: https://www.huntress.com/blog/its-not-safe-to-pay-safepay
-
Ransomware live (S.F.) Ransomware Group: Safepay Recuperado el 29 de noviembre del 2024 en: https://www.ransomware.live/group/safepay
