СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
07.09.2025
#ИБ#Инфра

SafePay: тактики, жертвы и всплеск blitz-атак 2024–2025

SafePay: тактики, жертвы и всплеск blitz-атак 20242025

Источник: www.bitdefender.com

В 2025 году SafePay стал заметным злоумышленником в ландшафте программ-вымогателей, привлекая внимание быстрыми и скоординированными атаками. По данным отчёта, только в июне жертвами SafePay стали 73 организации, а в июле — ещё 42. Группа действует независимо от моделей Программа‑вымогатель как услуга (RaaS) и не входит в известные объединения наподобие LockBit, демонстрируя высокий уровень оперативной автономии и секретности.

Краткая ретроспектива и динамика активности

Оперативная активность SafePay началась в сентябре 2024 года после серии успешных действий правоохранительных органов против ряда предыдущих групп вымогателей и их инфраструктуры. С самого старта группа показала склонность к «blitz»-тактике — быстрой масштабной компрометации нескольких жертв за короткий промежуток времени.

«20 ноября 2024 года группа сообщила о 23 жертвах всего за 24 часа» — отмечает исследование.

Виктимология и целевая стратегия

Виктимология SafePay указывает на преимущественную ориентацию на организации среднего размера и малый бизнес, особенно в развитых юрисдикциях: Соединённые Штаты, Германия, Великобритания и Канада. Такая стратегия объясняется сочетанием высокой зависимости от IT-инфраструктуры и ограниченных ресурсов на полноценную киберзащиту, что делает эти организации уязвимыми к давлению через угрозу утечки данных и влиянию на репутацию.

Тактики, методы и процедуры (TTP)

SafePay применяет комплексную тактику, сочетающую классические и адаптированные приёмы атак. Ключевые элементы TTP включают:

  • Первичный доступ: раскрытие учетных данных, атаки перебором и password spraying, эксплуатация уязвимостей в VPN-устройствах; в ряде случаев — социальная инженерия с целью выдать себя за IT‑персонал и внедрить RMM-инструменты.
  • Расширение присутствия и латеральное перемещение: использование скриптов вроде ShareFinder для картирования сети и выявления ценных ресурсов; применение инструментов вроде PsExec для выполнения команд и перемещения внутри сети.
  • Эксфильтрация данных: приоритет конфиденциальной информации — финансовые отчёты, IP, клиентские базы; для упаковки и передачи данных используются инструменты сжатия и передачи, такие как WinRAR и FileZilla.
  • Шифрование и шантаж: шифрование файлов с расширением .safepay и размещение файла с требованием выкупа readme_safepay.txt в зашифрованных каталогах.
  • Антидетекционные меры: попытки уклонения от EDR/AV, прерывание процессов, связанных с защитой, и минимизация взаимодействия с публичными криминальными форумами.

Операционные характеристики и особенности

Несколько характеристик выделяют SafePay среди других групп:

  • оперативная автономность — отсутствие привязки к RaaS и внешним партнёрам;
  • высокая секретность и минимальное присутствие на публичных площадках;
  • склонность к массовым «blitz»-атакам, повышающим давление на отдельные организации;
  • ориентация на максимизацию ущерба за короткий промежуток времени — как по количеству компрометаций, так и по качеству похищенных данных.

Рекомендации для организаций

Противодействие таким угрозам, как SafePay, требует многоуровневого подхода, сочетающего превентивные меры, средства обнаружения, готовность к реагированию и восстановлению. Рекомендуемые практики включают:

  • внедрение многофакторной аутентификации (MFA) для всех удалённых доступов и привилегированных аккаунтов;
  • регулярное обновление и исправление уязвимостей VPN и критичных внешних сервисов;
  • жёсткая политика паролей и мониторинг аномалий входа (alerts на password spraying/brute-force);
  • ограничение и контроль над установкой RMM-инструментов, контроль команд и действий удалённых администраторов;
  • сегментация сети и минимизация привилегий для уменьшения размаха латерального перемещения;
  • развёртывание EDR/NGAV с регулярными проверками целостности процессов и средств защиты;
  • шифрование резервных копий и хранение их в изолированных, оффлайновых или иммутабельных хранилищах;
  • план реагирования на инциденты с отработанными сценариями восстановления и коммуникаций (PR/юридические);
  • регулярные учения по incident response и proactive threat hunting для обнаружения ранних индикаторов компрометации;
  • мониторинг утечек данных и готовность к взаимодействию с правоохранительными органами.

Вывод

SafePay демонстрирует, что современные операторы программ-вымогателей всё чаще уходят от клише RaaS-моделей и выбирают более закрытые, автономные подходы с фокусом на скорость и масштаб. Для организаций это означает необходимость не только усиления базовой кибергигиены, но и построения скоординированной стратегической защиты, способной противостоять быстрым, многоэтапным атакам и минимизировать риск утечек и длительной недоступности сервисов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: