SafePay: Il nuovo nemico degli MSP nel panorama ransomware 2025

Avatar
Posted by Redazione 27/07/2025 7 minuti di lettura

Una minaccia emergente che colpisce dove fa più male.

Nel primo trimestre del 2025, il panorama delle minacce informatiche ha visto l’emergere di un nuovo protagonista particolarmente pericoloso: SafePay. Questo gruppo ransomware è rapidamente passato dall’anonimato a diventare una delle forze più attive e distruttive nel cyberspazio globale, con oltre 200 vittime documentate in tutto il mondo.

La peculiarità di SafePay non risiede solo nella sua aggressività, ma nella scelta strategica dei suoi obiettivi: Managed Service Provider (MSP) e piccole-medie imprese di ogni settore. Questa tattica è particolarmente insidiosa, poiché colpendo gli MSP, il gruppo può potenzialmente raggiungere centinaia di clienti attraverso un singolo attacco.

L’anatomia di un predatore digitale

Le ricerche condotte dall’Acronis Threat Research Unit (TRU) hanno rivelato che SafePay non reinventa la ruota, ma perfeziona tattiche già consolidate con una precisione chirurgica. Il gruppo utilizza:

  • Disattivazione sistematica delle protezioni endpoint
  • Eliminazione completa delle copie shadow per impedire il recupero
  • Cancellazione strategica dei log di sistema per ostacolare le indagini forensi

Un modello operativo unico

Contrariamente alla tendenza predominante nel panorama ransomware, dove i gruppi adottano modelli Ransomware-as-a-Service (RaaS) con affiliati esterni, SafePay opera secondo un approccio centralizzato. Il gruppo gestisce autonomamente:

  • Le proprie operazioni sul campo
  • L’infrastruttura tecnologica
  • Le negoziazioni con le vittime

Questo controllo diretto potrebbe spiegare la coerenza e l’efficacia dei loro attacchi.

La catena di attacco: semplicità devastante

SafePay dimostra che non serve essere innovativi per essere letali. La loro metodologia segue un percorso collaudato ma estremamente efficace:

  1. Intrusione Iniziale: Sfruttamento di connessioni RDP e VPN vulnerabili
  2. Compromissione delle Credenziali: Furto sistematico di account privilegiati
  3. Escalation dei Privilegi: Acquisizione di controlli amministrativi
  4. Movimento Laterale: Utilizzo di tecniche “Living off the Land” (LotL)
  5. Esfiltrazione Dati: Furto massiccio di informazioni sensibili
  6. Crittografia Finale: Blocco completo dei sistemi vittime

Il Caso Ingram Micro: un esempio emblematico

Recentemente, SafePay è stato collegato all’attacco contro Ingram Micro, un colosso della distribuzione tecnologica che serve migliaia di partner e MSP globalmente. Questo attacco evidenzia la capacità del gruppo di colpire obiettivi ad alto valore strategico.

Le radici genetiche: connessioni con LockBit

L’analisi tecnica rivela interessanti somiglianze tra SafePay e la famigerata famiglia LockBit, in particolare con la versione 3.0 (nota anche come LockBit Black). Questa connessione non è casuale: nel 2022, il codice sorgente del builder LockBit 3.0 è stato compromesso e divulgato pubblicamente, aprendo la strada a numerosi “spin-off”.

Somiglianze tecniche significative

SafePay condivide con LockBit diverse caratteristiche distintive:

  • Autenticazione richiesta: Necessita di password per l’esecuzione completa
  • Offuscamento avanzato: Tutte le stringhe sono crittografate
  • Risoluzione dinamica: Gli indirizzi WinAPI vengono risolti durante l’esecuzione
  • Evasione geografica: Evita sistemi con specifiche lingue di sistema
  • Escalation privilegiata: Abusa dell’interfaccia COM CMSTPLUA
  • Anti-debugging: I thread creati utilizzano flag per nascondersi dai debugger

Metodologia di distribuzione e raccolta dati

Vettore di attacco primario

SafePay utilizza principalmente connessioni RDP compromesse per la distribuzione iniziale. Una volta all’interno del sistema, gli attaccanti:

  1. Disattivano Windows Defender
  2. Caricano file sui server di comando e controllo (C2)
  3. Avviano il processo di crittografia

Strumenti di reconnaissance

Prima dell’esfiltrazione, il gruppo utilizza lo script ‘ShareFinder.ps1’, derivato dal progetto open source Veil-PowerView. Questo strumento:

  • Identifica tutte le condivisioni di rete nel dominio locale
  • È stato precedentemente osservato in campagne Emotet
  • È stato utilizzato nella distribuzione del ransomware Conti

Processo di archiviazione ed esfiltrazione

Per la raccolta sistematica dei dati, SafePay impiega WinRAR con parametri specifici che escludono file multimediali e di sistema, concentrandosi su documenti di valore. Successivamente, utilizza FileZilla per trasferire i dati ai server C2, eliminando poi entrambi gli strumenti per coprire le tracce.

Architettura tecnica del malware

Struttura e offuscamento

SafePay si presenta come una DLL PE32 con timestamp di compilazione falsificato. Utilizza un sofisticato sistema di decrittografia delle stringhe basato su:

  • Triple XOR: Tre operazioni XOR consecutive per ogni byte
  • Chiavi multiple: Una basata sull’indice, una sul carattere ‘M’ di kernel32.dll, una costante unica
  • Importazioni dinamiche: Nessuna tabella di importazione statica

Evasione e persistenza

Il malware implementa diverse tecniche di evasione:

  • Controllo linguistico: Evita l’esecuzione su sistemi con lingue specifiche (Armeno, Azero)
  • Autenticazione: Richiede una password di 32 byte per l’esecuzione completa
  • Persistenza: Si installa nel registro di Windows per l’avvio automatico

Processo di crittografia: efficienza distruttiva

Preparazione del sistema

Prima della crittografia, SafePay esegue una “pulizia” sistematica:

  1. Terminazione processi: Chiude applicazioni database, office, backup
  2. Arresto servizi: Ferma servizi di backup, antivirus, virtualizzazione
  3. Eliminazione backup: Svuota il cestino e rimuove le copie shadow

Algoritmo di crittografia

SafePay utilizza una combinazione robusta di algoritmi:

  • AES per i file: Chiave casuale di 32 byte per ogni file
  • RSA per le chiavi: Crittografia delle chiavi AES con RSA
  • Threading nascosto: Processi di crittografia in modalità nascosta

Targeting selettivo

Il malware crittografa solo unità di tipo:

  • DRIVE_REMOVABLE (tipo 2)
  • DRIVE_FIXED (tipo 3)

Aggiunge l’estensione .safepay ai file crittografati.

Implicazioni per la sicurezza aziendale

Perché SafePay è Particolarmente Pericoloso

  1. Doppia Estorsione: Combina furto dati e crittografia
  2. Targeting MSP: Effetto moltiplicatore attraverso i fornitori di servizi
  3. Tattica Consolidata: Utilizza metodi collaudati e difficili da contrastare
  4. Controllo Centralizzato: Operazioni coordinate e strategiche

Raccomandazioni di protezione

Per MSP e aziende, è cruciale implementare:

  • Segmentazione di rete rigorosa
  • Monitoring avanzato delle connessioni RDP
  • Backup immutabili e offline
  • Formazione specifica su tecniche di social engineering
  • Patch management accelerato per vulnerabilità critiche

Indicatori di Compromissione (IoC):

  • SHA256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526
  • Dominio C2: http://nz4z6ruzcekriti5cjjiiylzvrmysyqwibxztk6voem4trtx7gstpjid.onion
  • Contatto: VanessaCooke94@protonmail.com

Fonte: Acronis

L’articolo si basa sull’analisi tecnica condotta da Acronis Threat Research Unit (TRU) su diversi campioni del ransomware SafePay.

Translate »
Powered by  GDPR Cookie Compliance
Panoramica privacy

Questo sito Web utilizza i cookie in modo che possiamo fornirti la migliore esperienza utente possibile. Le informazioni sui cookie sono memorizzate nel tuo browser ed eseguono funzioni come riconoscerti quando ritorni sul nostro sito Web e aiutare il nostro team a capire quali sezioni del sito Web trovi più interessanti e utili Per vedere tutta la nostra Privacy Policy, clicca qui..