СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 марта
#ИБ

SafePay: вымогатели используют OneDrive для скрытой эксфильтрации данных

Кратко: SafePay — недавно выявленная группа программ‑вымогателей — резко активизировалась с сентября 2024 года и в 2025 году была причастна к заметной атаке двойного вымогательства, расследованной компанией Sygnia. В этой кампании злоумышленники применили нетипичную для вымогателей тактику: вместо классических каналов эксфильтрации они использовали Microsoft OneDrive, что позволило замаскировать кражу данных под легитимный HTTPS‑трафик.

Как происходила атака

По выводам расследования, атака развивалась по следующей схеме:

  • Начальный доступ — злоумышленники воспользовались неправильно настроенным брандмауэром FortiGate и компрометированными административными учётными записями для входа через SSL VPN организации.
  • Быстрое повышение привилегий — в течение нескольких часов атакующие получили права администратора домена.
  • Разведка и горизонтальное перемещение — использовались легитимные утилиты Windows и скрипты для обнаружения активных систем и определения ценных целей; применялись методы living‑off‑the‑land и очистки следов.
  • Переход к OneDrive — когда FTP‑каналы были заблокированы брандмауэром, злоумышленники аутентифицировались в арендованном ими же Microsoft 365 и развернули клиент синхронизации Microsoft OneDrive на скомпрометированном сервере для загрузки похищенных данных через легитимные HTTPS‑соединения.
  • Развертывание вымогателя — после эксфильтрации был запущен вредоносный модуль locker.dll через regsvr32.exe, обеспечивший реестровую устойчивость и массовое шифрование файлов.
  • Последствия — более 60 серверов, преимущественно критической инфраструктуры, были зашифрованы; операция соответствовала модели двойного вымогательства: сначала кража данных, затем шифрование и требование выкупа.

Особенности тактик и инструментов

Направленность SafePay на «микро‑кампании» и быстрые, высокомощные удары сопровождалась активным использованием следующих приёмов:

  • living‑off‑the‑land — использование доверенных системных бинарников и встроенных утилит для минимизации цифровых следов;
  • скрипты для удаления следов после выполнения задач;
  • маскировка трафика под обычные сервисы за счёт использования Microsoft OneDrive и арендованного Microsoft 365‑контроля;
  • использование regsvr32.exe для выполнения DLL и установления персистентности через реестр.

Почему это опасно для традиционных защит

Использование Microsoft OneDrive для эксфильтрации данных представляет собой серьёзную проблему для традиционных систем безопасности. Основные сложности:

  • трафик проходит по легитимным HTTPS‑каналам Microsoft и выглядит как обычная синхронизация облака;
  • детектирование по аномалиям сетевого трафика становится менее эффективным, когда злоумышленник использует доверенные сервисы;
  • living‑off‑the‑land техники усложняют обнаружение по сигнатурам, а чистка следов снижает качество ретроспективного анализа.

Рекомендации для организаций

Учитывая выявленные приёмы, организациям стоит пересмотреть защитные меры и учесть следующие шаги:

  • жёстко настроить и регулярно проверять конфигурации сетевых устройств (включая FortiGate) и SSL VPN;
  • внедрить многофакторную аутентификацию для администраторских аккаунтов и мониторинг подозрительных входов;
  • ограничить и контролировать доступ к Microsoft 365, следить за регистрациями приложений и авторизациями OAuth;
  • запретить или ограничить установку и использование клиентских синхронизаторов (OneDrive) на серверах и критических хостах;
  • организовать контроль исходящего HTTPS‑трафика (TLS inspection там, где это приемлемо) и мониторинг активности Microsoft cloud сервисов;
  • внедрить поведенческое обнаружение на конечных точках (EDR) для выявления living‑off‑the‑land техник и подозрительных запусков regsvr32.exe;
  • регулярно тестировать резервные копии и планы восстановления, а также сегментировать сети для ограничения распространения шифровальщиков;
  • подготовить и отработать сценарии incident response и threat hunting с учётом новых векторов эксфильтрации.

Вывод. Описание атаки группы SafePay демонстрирует, как злоумышленники адаптируются к защите организаций: при блокировке классических каналов они перебираются на легитимные облачные сервисы, делая свои действия менее заметными. Это требует от команд по информационной безопасности пересмотра подходов к мониторингу облачных сервисов, управлению привилегиями и контролю исходящего трафика, а также усиления превентивных мер на стыке сети, почвы и облака.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: