В первом квартале 2025 года киберугроза под названием SafePay совершила беспрецедентный рывок из неизвестности, став одним из наиболее агрессивных и опасных игроков на мировой арене цифровой безопасности. По данным исследования Acronis Threat Research Unit (TRU), эта группа успела атаковать свыше 200 жертв по всему миру, включая управляемых сервис-провайдеров (MSP) и малый и средний бизнес (SMB) в различных отраслях. Особую тревогу вызывает их целенаправленная тактика против MSP, что создает эффект домино: взлом одного провайдера ставит под удар сотни зависимых от него клиентов. Последним громким инцидентом стала атака на Ingram Micro, глобального дистрибутора, обслуживающего тысячи партнеров, что привело к масштабным сбоям в цепочках поставок ИТ-услуг.
Описание
Анализ образцов SafePay выявил рециркуляцию высокоэффективных тактик: отключение защиты конечных точек, удаление теневых копий и очистка журналов для подавления обнаружения. В отличие от многих групп, работающих по модели Ransomware-as-a-Service (RaaS) с привлечением аффилиатов, SafePay действует централизованно, контролируя операции, инфраструктуру и переговоры о выкупе самостоятельно. Их методы включают классические, но смертоносные техники: проникновение через RDP и VPN, кражу учетных данных, эскалацию привилегий и использование легитимных системных утилит (Living-off-the-Land) для скрытного перемещения по сетям. Перед шифрованием злоумышленники систематически эксфильтрируют конфиденциальные данные, применяя двойной шантаж для давления на жертв.
Происхождение SafePay остается предметом спекуляций, однако технические параллели с печально известным LockBit неоспоримы. Группа появилась в 2024 году, а после утечки исходного кода LockBit 3.0 (также известного как LockBit Black) в 2022 году, их образцы унаследовали ключевые черты: фиктивные функции с вызовами Windows API без аргументов, обязательный пароль для запуска, полное шифрование строк и динамическое разрешение адресов WinAPI. SafePay также копирует избегание систем на русском, украинском, белорусском и других языках СНГ, злоупотребление интерфейсом CMSTPLUA для эскалации привилегий и флаг ThreadHideFromDebugger для противодействия анализу. Хотя это не полная копия, адаптация кода позволила усовершенствовать избегание обнаружения.
Доставка вредоноса осуществляется через скомпрометированные RDP-соединения. Получив доступ, злоумышленники отключают Защитник Windows, после чего запускают скрипт ShareFinder.ps1 (заимствованный из открытых источников) для сканирования сетевых ресурсов. Собранные файлы архивируются через WinRAR с исключением расширений вроде .exe или .dll, а затем экспортируются на C2-сервер с помощью FileZilla. Оба инструмента удаляются после эксфильтрации, стирая следы. На этапе исполнения SafePay расшифровывает строки тройным XOR-ключом с использованием индекса байта, символа "M" из kernel32.dll и уникальных констант. Импорт функций отсутствует - библиотеки вроде advapi32.dll или ntdll.dll загружаются динамически через LoadLibrary и GetProcAddress, что усложняет статический анализ.
Ключевой особенностью является зависимость от аргументов командной строки. Без флага -pass= с 38-символьным паролем (включая подстроку -pass=) выполнение невозможно. Пароль длиной 32 байта декодирует критически важные данные. Другие аргументы включают -uac для обхода контроля учетных записей, -network для распространения по сети, -enc= для управления процентом шифрования (например, "5" шифрует 50% файла) и -log для создания журнала C:\ProgramData\auto.log. Перед шифрованием SafePay применяет жесткие меры: создает ACL с запрещающими правилами, получает привилегию SeDebugPrivilege, завершает процессы (SQL, Oracle, Backup-сервисы Veeam и Sophos) и останавливает службы вроде vss или GxCIMgr. Очистка корзины и автозагрузка через реестр гарантируют живучесть.
Шифрование начинается с инициализации криптопровайдера RSA_AES. Каждый поток запускается в скрытом от отладки режиме. Диски сканируются через GetLogicalDrives, а файлы - рекурсивно через FindFirstFile/FindNextFile с фокусом на съемные (DRIVE_REMOVABLE) и фиксированные (DRIVE_FIXED) носители. При открытии файлов используется флаг FILE_FLAG_DELETE_ON_CLOSE, обеспечивая удаление после закрытия. Для каждого файла генерируется 32-байтовый AES-ключ, шифруемый RSA, а данные обрабатываются через механизм I/O Completion Port для многопоточности. Финальный шаг - переименование с расширением .safepay.
Эксперты Acronis подчеркивают: угроза MSP особенно критична из-за их роли в инфраструктуре клиентов. Для защиты рекомендуется строгий контроль доступа к RDP/VPN, сегментация сетей, регулярное обучение сотрудников и комплексное резервное копирование с изолированными копиями. Мониторинг аномальной активности (например, массовое использование WinRAR или FileZilla) и обновление EDR-решений могут предотвратить атаку. Без оперативных мер SafePay способен парализовать не только отдельные компании, но и целые экосистемы поставщиков услуг, как показал инцидент с Ingram Micro. Рост группы - тревожный сигнал для глобального сообщества кибербезопасности, требующий консолидированного ответа.
Индикаторы компрометации
URLs
- http://nz4z6ruzcekriti5cjjiiylzvrmysyqwibxztk6voem4trtx7gstpjid.onion
Emails
- VanessaCooke94@protonmail.com
MD5
- d1f621b82822b544153f6b531e51a611
SHA1
- 4278801d47b15c1e9ef94c28c599c3156fd65812
SHA256
- a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526
