SafePay – nowy wymiar ransomware
W październiku 2024 roku eksperci z firmy Huntress zidentyfikowali nowy rodzaj ransomware o nazwie SafePay. Szczep ten wyróżnia
się wykorzystaniem rozszerzenia plików.safepay oraz notatki o okupie zatytułowanej „readme_safepay.txt”. Pomimo swojej stosunkowo krótkiej historii,
SafePay budzi obawy ze względu na podobieństwa do wyciekłego kodu źródłowego znanego ransomware LockBit, co może wskazywać na doświadczonych twórców.
Analitycy wskazują, że SafePay wykorzystuje dwufazowy model ataku. W pierwszej fazie cyberprzestępcy przeprowadzają zbieranie i
eksfiltrację danych, używając narzędzi takich jak WinRAR oraz FileZilla. W drugiej – przechodzą do wdrożenia szyfrowania, korzystając z dostępu do
protokołu RDP (Remote Desktop Protocol) i skryptów PowerShell. To umożliwia im zablokowanie danych ofiar oraz utrudnienie procesu ich odzyskania.
Zaawansowane techniki i taktyki
SafePay wyróżnia się zestawem wyrafinowanych narzędzi i metod.
- Omijanie UAC i eskalacja uprawnień. Ransomware wykorzystuje technikę COM do obejścia Kontroli Konta Użytkownika (UAC), co
umożliwia wykonywanie złośliwych poleceń z podwyższonymi uprawnieniami. Jest to metoda wcześniej stosowana m.in. przez BlackCat.
- Funkcje antyanalizy — dzięki zaawansowanym metodom zaciemniania ciągów oraz tworzenia wątków ransomware unika wykrycia przez
tradycyjne systemy bezpieczeństwa. Analitycy zauważyli „niestandardową implementację” poprawiającą możliwości antyanalizy.
- Killswitch oparty na języku. SafePay nie atakuje systemów operacyjnych skonfigurowanych w językach cyrylicy. To popularna strategia wśród grup
cyberprzestępczych, chroniąca komputery w krajach Europy Wschodniej.
Grupa stojąca za SafePay działa w sieci Tor oraz na platformie TON (The Open Network). Ich strona z wyciekami danych udostępnia
informacje o ofiarach oraz skradzione pliki. Analitycy odkryli również podatności w ich serwerze, co pozwoliło uzyskać wgląd w działania grupy.
Powiązania z LockBit i przyszłe zagrożenia
Podobieństwa do LockBit sugerują, że SafePay może być kolejnym krokiem w ewolucji ransomware. Kod źródłowy LockBit, który wyciekł pod
koniec 2022 roku, mógł zostać wykorzystany do stworzenia tej nowej formy zagrożenia.
Analitycy Huntress zauważyli, że twórcy SafePay skutecznie wykorzystują legalne dane uwierzytelniające, aby uzyskać dostęp do systemów
ofiar. Co istotne, nie tworzą nowych kont użytkowników ani nie aktywują dodatkowych trwałości, co utrudnia wykrycie ich działań.
SafePay stanowi poważne zagrożenie dla organizacji na całym świecie.** Wykorzystanie zaawansowanych technik szyfrowania, unikanie wykrycia
oraz zdolność do eskalacji uprawnień wskazują na wysoki poziom profesjonalizmu jego twórców. Ochrona przed tego typu zagrożeniami wymaga nieustannego
monitorowania systemów, aktualizacji oprogramowania oraz szkoleń z zakresu cyberbezpieczeństwa.
