Кибербезопасность столкнулась с тревожным вызовом: в октябре 2024 года появился ранее не документированный штамм ransomware под названием SafePay, быстро распространившийся по 11 странам, включая США, Великобританию, Германию и Австралию. По данным экспертов Red Piranha, подтвердивших активность угрозы 21 ноября 2024 года, этот шифровальщик демонстрирует изощренные тактики, ориентированные на корпоративный сектор. SafePay выделяется использованием уникального расширения .safepay для зашифрованных файлов и оставлением ультиматума в файле readme_safepay.txt, где жертвам угрожают безвозвратной потерей данных при отказе от выплаты через анонимные каналы связи. Отсутствие исторических данных об этом семействе подчеркивает его новизну и опасность для организаций, чья зависимость от цифровых активов делает их уязвимыми перед шантажом.
Описание
Ключевой особенностью SafePay является многоступенчатая цепочка атаки (kill chain), начинающаяся с эксплуатации уязвимостей в протоколе удаленного рабочего стола (RDP). Злоумышленники проникают через плохо защищенные RDP-интерфейсы, после чего применяют технику Living Off the Land Binaries (LOLBins), маскируя вредоносные действия под легитимные процессы. Например, через SystemSettingsAdminFlows.exe отключаются критические функции Windows Defender, включая защиту в реальном времени и отправку образцов угроз. Это создает идеальные условия для запуска скрипта ShareFinder.ps1, который сканирует корпоративные сети в поисках общих ресурсов и ценных данных, подготавливая почву для латерального перемещения.
На этапе повышения привилегий SafePay использует изощренный UAC-байпас, эксплуатирующий уязвимости в COM-объектах CMSTPLUA через процесс DllHost.exe. Этот метод, ранее наблюдавшийся в группе LockBit, позволяет злоумышленникам выполнять команды с правами администратора, обходя контроль учетных записей. Следующая фаза - дестабилизация инфраструктуры - включает двойную атаку на процессы и сервисы. С помощью функции ZwTerminateProcess ransomware целенаправленно завершает работу критически важных служб: СУБД (SQL, Oracle), инструментов резервного копирования (Veeam, BackupExec) и антивирусных решений (Sophos). Параллельно через ControlService останавливаются системные сервисы, блокируя возможности восстановления.
Особую опасность представляет стратегия двойного шантажа: перед шифрованием SafePay проводит тотальную эксфильтрацию данных. Через WinRAR архивируются файлы, исключая незначительные форматы вроде .JPEG, после чего сжатые данные передаются на удаленные серверы через FileZilla, устанавливаемую временно для минимизации следов. Только после успешного хищения информации начинается шифрование с присвоением файлам расширения .safepay. Финал атаки - психологическое давление: в записке угрожают уничтожением ключа дешифровки при задержке выплаты и предлагают связь через Tor-сайты (.onion), гарантирующие анонимность преступников.
Угроза SafePay подтверждает тренд: современные киберпреступники комбинируют финансовую мотивацию с военными тактиками, превращая каждую успешную атаку в финансирование следующих разработок. В условиях растущей сложности угроз только проактивный анализ IOC и межкорпоративный обмен разведданными создадут реальный заслон цифровому вымогательству.
Индикаторы компрометации
IPv4
- 45.91.201.247
- 77.37.49.40
- 80.78.28.63
Onion Domains
- iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion
- qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion
SHA256
- a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526
