Группировка SafePay осваивает изощрённую технику утечки данных через Microsoft OneDrive

Группировка SafePay, впервые замеченная в сентябре 2024 года, стремительно нарастила активность в 2025-м, проводя агрессивные и высокоскоростные операции по всему миру. Её модель атаки классически включает двойное вымогательство: сначала происходит кража конфиденциальных данных, а затем их шифрование. После шифрования файлы получают расширение ".safepay", а инструкции по выкупу размещаются в файле "readme_safepay.txt". Однако в ходе расследования одного из инцидентов специалисты компании Sygnia обнаружили ранее не свойственный этой группировке изощрённый метод эксфильтрации.

Атака началась с компрометации периметра. Злоумышленники получили первоначальный доступ, воспользовавшись уязвимостью в межсетевом экране FortiGate и слабой конфигурацией административной учётной записи для SSL VPN. Учётная запись, предназначенная только для локального администрирования устройства, была защищена простым паролем, не имела многофакторной аутентификации и, что критично, была разрешена для аутентификации в VPN, а также являлась учётной записью домена. Это позволило злоумышленникам быстро эскалировать привилегии и за считанные часы получить доступ к контроллеру домена через RDP, захватив учётные данные администратора домена.

Обладая высшими привилегиями, группа провела методичную разведку инфраструктуры. Для этого использовался широкий арсенал: нативные утилиты Windows, такие как "nslookup.exe" и "powershell.exe", а также скрипты на Python и PowerShell для перечисления объектов Active Directory. Дополнительно применялись открытые инструменты вроде Advanced IP Scanner и Snaffler. Латеральное перемещение осуществлялось в основном через RDP с использованием захваченных учётных данных, что позволило получить доступ к файловым серверам, системам виртуализации Hyper-V и vCenter, а также инфраструктуре резервного копирования Veeam.

Ключевой особенностью этой операции стал этап утечки данных. Изначально группа попыталась выгрузить данные через FileZilla на внешний FTP-сервер, однако этот трафик был заблокирован сетевыми экранами жертвы. Вместо того чтобы отказаться от эксфильтрации, злоумышленники совершили нестандартный манёвр. Они установили и настроили на скомпрометированном сервере клиент синхронизации Microsoft OneDrive, авторизовав его в контролируемом ими тенанте Microsoft 365. Предварительно собранные и сжатые в архивы .rar данные были помещены в синхронизируемую папку OneDrive. В результате конфиденциальная информация автоматически передавалась на серверы Microsoft по зашифрованным HTTPS-соединениям, полностью маскируясь под легитимный фоновый трафик облачного сервиса. Эксперты Sygnia в своём отчёте детально описали эту технику, отметив её новизну для группировки SafePay.

После успешной утечки данных атака перешла в завершающую фазу. Программа-вымогатель в виде библиотеки "locker.dll" была запущена на более чем 60 серверах с помощью стандартной утилиты "regsvr32.exe". Для обеспечения устойчивости в реестр была добавлена запись, автоматически запускающая шифровальщик при входе пользователя в систему. Это привело к массовому шифрованию серверов резервного копирования, виртуализации, файловых хранилищ и систем управления идентификацией, вызвав серьёзные операционные сбои.

Использование OneDrive в качестве канала утечки имеет далеко идущие последствия для индустрии информационной безопасности. Этот метод позволяет злонамеренной активности полностью растворяться в фоновом трафике доверенных облачных сервисов, которые редко подвергаются строгому контролю или блокировке на периметре. Традиционные системы обнаружения вторжений, настроенные на поиск аномальных подключений к подозрительным IP-адресам или использование нестандартных протоколов, в таком случае оказываются бессильны. Более того, даже анализ сетевого трафика показывает лишь легитимные соединения с инфраструктурой Microsoft.

Форензик-анализ после инцидента выявил дополнительные тревожные детали. В мастер-файловой таблице диска были обнаружены сотни "осиротевших" записей, указывающих на архивы .rar с названиями, характерными для данных других организаций. Это позволяет предположить, что один и тот же контролируемый тенант OneDrive мог использоваться для утечки информации от нескольких жертв группировки SafePay. Подобная тактика повторного использования инфраструктуры повышает её эффективность и усложняет атрибуцию.

Для противодействия подобным угрозам организациям необходимо расширить фокус мониторинга. Помимо отслеживания подозрительного исходящего трафика, критически важно внедрить контроль за установкой и конфигурацией облачных клиентов синхронизации на корпоративных серверах. Следует настраивать оповещения о попытках регистрации клиента OneDrive, не ассоциированного с доменом организации, а также о доступе к файлам в таких неавторизованных папках синхронизации. Кроме того, расследование инцидентов должно включать поиск "осиротевших" путей в MFT, которые могут свидетельствовать о предыдущих операциях по эксфильтрации. Фундаментальной же мерой защиты остаётся строгое соблюдение базовых принципов гигиены безопасности: использование сложных уникальных паролей, обязательное внедрение многофакторной аутентификации для всех привилегированных учётных записей, включая служебные, и регулярный аудит конфигурации периметровых устройств. Инцидент с SafePay наглядно показывает, что уязвимость всего одного слабо защищённого элемента инфраструктуры может открыть путь для масштабной атаки, последствия которой усугубляются применением изощрённых, труднообнаруживаемых техник.

IPv4

• 155.1.191.82
• 185.243.96.9
• 192.166.225.69
• 208.131.130.45
• 208.131.130.65
• 23.234.68.67
• 23.234.70.46
• 23.234.70.67
• 23.234.90.68
• 68.235.46.80

URLs

• https://jjvq-sharepoint.com/