Safepay: Новый игрок в мире программ-вымогателей
Источник: cyberint.com
С момента своей первой атаки в октябре 2024 года, группа Safepay стала заметным игроком на рынке программ-вымогателей, нанося удары по более чем 50 организациям в различных секторах. Основные пострадавшие страны включают Соединенные Штаты, Германию, Сингапур, Канаду и Австралию, где атакованы бизнес-услуги, розничная торговля, образование, и производство.
Атаки и методы Safepay
Группа продемонстрировала свои агрессивные оперативные возможности, особенно подчеркивая следующие факты:
- Кража 1,2 ТБАЙТ данных с британского предприятия.
- Публикация информации о новых жертвах на своем официальном сайте по утечке данных (DLS) 16 апреля 2024 года, с акцентом на значительное число жертв из Германии.
- Затрагиваемые отрасли в Германии: строительство, транспорт, и государственное управление.
Эти события подчеркивают настоятельную необходимость для организаций в Германии усилить меры кибербезопасности, учитывая растущую угрозу со стороны программ-вымогателей.
Технические детали и методология атак
Техническая сложность Safepay очевидна, и ее методология многоэтапной атаки выглядит следующим образом:
- Начало с несанкционированного доступа по протоколу удаленного рабочего стола (RDP).
- Использование автономных двоичных файлов (LOLBins) для обхода защит, таких как Windows Defender.
- Запуск вредоносных сценариев PowerShell для подготовки к развертыванию программ-вымогателей.
- Инструменты, такие как WinRAR и FileZilla, используются для архивации и эксфильтрации данных.
После развертывания программа-вымогатель применяет надежные методы шифрования, добавляя к скомпрометированным файлам расширение .safepay и оставляя уведомления о требовании оплаты. Для усложнения восстановления, Safepay:
- Отключает параметры восстановления.
- Удаляет теневые копии.
- Выполняет команды, такие как bcdedit, чтобы предотвратить восстановление системы.
Стратегические особенности Safepay
Стратегические аспекты дизайна Safepay также заслуживают внимания:
- Применение кириллического блокиратора, который не позволяет атаковать системы в определенных регионах Восточной Европы.
- Модульная архитектура, позволяющая выполнять функции повышения привилегий и обхода контроля учетных записей пользователей (UAC).
Сравнивая Safepay с предыдущими семействами программ-вымогателей, такими как LockBit, можно отметить, что Safepay использует утечку исходных кодов и адаптирует методы для повышения эффективности. Эти особенности, объединенные с эксфильтрацией и шифрованием данных, делают Safepay грозной и адаптивной угрозой.
Рекомендации по защите
Организациям настоятельно рекомендуется принять проактивные меры в сфере кибербезопасности:
- Надежный мониторинг конечных точек.
- Регулярное внесение исправлений.
- Строгий контроль доступа.
В условиях нарастающих угроз со стороны программ-вымогателей, таких как Safepay, проактивная защита становится критически важной для обеспечения безопасности данных и функционирования организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
