SafePay: как не-RaaS группа совершает скоростные атаки вымогателей

С более чем 270 заявленными жертвами с начала года, скрытные операции SafePay, отказ от модели ransomware-as-a-service (RaaS, вымогательство как услуга) и быстрая публикация данных о жертвах сигнализируют о значительной угрозе, которую необходимо понимать исследователям безопасности и командам защитников.

Происхождение группы прослеживается с сентября 2024 года. Исследователи идентифицировали в её вредоносном ПО части кода, функционально дополняющие возможности, ассоциирующиеся с LockBit, в частности с LockBit Black. Первые атаки SafePay произошли более чем через полгода после координированных действий правоохранительных органов, которые привели к разгрому группировки ALPHV (Black Cat), и через несколько месяцев после захвата инфраструктуры LockBit в ходе операции «Кронос». Однако есть веские доказательства того, что SafePay действует независимо от создателей LockBit и их сообщников. Это подтверждается striking различиями в операционных моделях и процессах шифрования.

В отличие от LockBit, который использует открытую RaaS-модель для привлечения партнёров (аффилиатов), SafePay действует полностью автономно, не предлагая свои услуги другим злоумышленникам и не нанимая их. Это заявлено прямо на её сайте утечек данных (DLS, data leak site). Такой закрытый подход снижает риски операционной безопасности (OPSEC), такие как утечка кода или компрометация инфраструктуры, а также позволяет группе сохранять всю прибыль себе, не делясь с посредниками.

Стратегия выбора жертв у SafePay методична. Основной удар приходится на средний и крупный бизнес в США, Германии, Великобритании и Канаде. Группа целенаправленно атакует организации с широкими сетями партнёров и клиентов, чтобы увеличить давление на жертву и вынудить её заплатить выкуп для спасения активов и репутации. Среди наиболее поражаемых отраслей - обрабатывающая промышленность, здравоохранение и строительство, где нарушение доступности данных критически болезненно. Также в зоне риска находятся образовательные и научные учреждения, государственные структуры и IT-компании.

Отличительной чертой SafePay является невероятная скорость атак. Группа регулярно публикует данные о десятках жертв в течение 24 часов. Рекорд был установлен 30 марта 2025 года, когда было заявлено о 29 взломах за один день. Для сравнения, известная RaaS-группа Qilin с развитой партнёрской программой показала максимум в 19 жертв за день. Другая группа, Akira, ненамного опередила SafePay, объявив о 32 жертвах 6 апреля.

Исследователи полагают, что такая скорость достигается за счёт тщательного поиска уязвимых целей с критическими слабостями в инфраструктуре. Группа активно использует известные уязвимости, атаки Living off the Land (использование легитимных инструментов системы) и специальные скрипты, такие как ShareFinder.ps1, для поиска сетевых ресурсов с критически важными данными.

Тактика, техники и процедуры (TTPs) SafePay хорошо изучены. Первоначальный доступ к сетям жертв обычно получают через утечки учётных данных, атаки грубой силы (brute-force) на пароли или эксплуатацию уязвимостей в VPN-устройствах. Также группа прибегает к социальной инженерии, impersonating сотрудников IT-поддержки. После проникновения злоумышленники перемещаются по сети с помощью легальных инструментов вроде PsExec, осуществляют выгрузку (exfiltration) ценных данных - финансовых отчётов, интеллектуальной собственности, баз учётных записей - с помощью WinRAR и FileZilla, и лишь затем развёртывают программу-вымогателя (ransomware).

Шифровальщик SafePay использует алгоритм ChaCha20, применяя уникальный ключ для каждого файла и главный ключ, встроенный в само вредоносное ПО. После шифрования файлы получают расширение .safepay, а в директориях появляется записка readme_safepay.txt с инструкциями по выплате выкупа в биткоинах и угрозой публикации данных, если жертва не свяжется в течение 10 дней.

Любопытная деталь - на сайте утечек группы размещён девиз, являющийся цитатой из малоизвестной британской театральной постановки. Однако более весомым указанием на возможную географическую принадлежность является функция в коде ransomware: он проверяет раскладку клавиатуры целевой системы и прекращает работу, если обнаружена кириллица. Это может свидетельствовать о том, что создатели группы либо базируются в России, либо считают её своей «зоной безопасности».

Таким образом, SafePay представляет собой новую, высокоэффективную и опасную модель киберпреступного бизнеса. Её закрытость, скорость и точность атак демонстрируют, что для успеха в криминальном мире не обязательно полагаться на партнёрские программы. Группа напоминает, что фундаментальные основы безопасности - своевременное обновление ПО, усиление учётных записей и мониторинг активности - остаются главными барьерами на пути даже самых быстрых и целеустремлённых вымогателей.

SHA256

• 327b8b61eb446cc4f710771e44484f62b804ae3d262b57a56575053e2df67917
• a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526