22 жертвы за месяц: как SafePay делает компании добычей киберпреступников

В октябре 2024 года аналитики Huntress зафиксировали два инцидента, связанных с распространением нового вируса-вымогателя SafePay. Особенностью стало использование уникального расширения «.safepay» и вымогательского файла с названием «readme_safepay.txt». До этого случаев применения такого программного обеспечения не наблюдалось.

В даркнете SafePay активно применяет луковую маршрутизацию TOR, а также использует для коммуникации децентрализованный мессенджер TON. На сайте утечек злоумышленников размещены списки 22 жертв с возможностью скачивания украденных данных, что вызывает вопросы о безопасности их корпоративных сетей.

В первом инциденте хакеры проникли через RDP, отключив защиту Windows Defender. Они использовали утилиту WinRAR для архивирования файлов и, предположительно, выгрузили их с помощью FTP-программы FileZilla. Завершилось всё шифрованием файлов на сетевых ресурсах, сопровождавшимся удалением теневых копий и отключением восстановления системы.

Во втором рассмотренном случае злоумышленники также использовали RDP, но обошли защиту иначе. Антивирус обнаружил процесс шифрования, однако не смог его остановить. Как и в первом случае, в результате оставлено текстовое сообщение с угрозой и требованием выкупа.

Анализ вредоносного кода выявил сходство софта SafePay с Lockbit. В частности, программное обеспечение проверяет, не используется ли оно в странах Восточной Европы, и активно обходит антивирусные защиты. Примечательно, что его шифрование файлов и управление потоками организовано для повышения эффективности и скрытности.

Группа исследователей Huntress отмечает, что SafePay использует проверенные инструменты, такие как PowerShell-скрипты для поиска сетевых ресурсов и WinRAR для архивирования данных. Это указывает на высокую опытность злоумышленников, а также на необходимость усиления киберзащиты компаний, особенно при использовании RDP.