Вымогатель SafePay обнаружил внезапное сходство с LockBit

В октябре 2024 года аналитикиHuntressзафиксировали два инцидента,связанных с распространением нового вируса-вымогателя SafePay. Особенностью стало использование уникального расширения «.safepay» и вымогательского файла с названием «readme_safepay.txt». До этого случаев применения такого программного обеспечения не наблюдалось, пишет Securitylab.

В даркнете SafePay активно применяет луковую маршрутизацию TOR, а также использует для связии децентрализованный мессенджер TON. На сайте утечек злоумышленников размещены списки 22 жертв с возможностью скачивания украденных данных, что вызывает вопросы о безопасности их корпоративных сетей.

В первом инциденте хакеры проникли черезRDP, отключив защитуWindowsDefender. Они использовали утилиту WinRAR для архивирования файлов и, предположительно, выгрузили их с помощью FTP-программы FileZilla. Завершилось всё шифрованием файлов на сетевых ресурсах, сопровождавшимся удалением теневых копий и отключением восстановления системы.

Во втором рассмотренном случае злоумышленники также использовали RDP, но обошли защиту иначе. Антивирус обнаружил процесс шифрования, однако не смог его остановить. Как и в первом случае, в результате оставлено текстовое сообщение с угрозой и требованием выкупа.

Анализ вредоносного кода выявил сходство софта SafePay с Lockbit. В частности, программное обеспечение проверяет, не используется ли оно в странах Восточной Европы, и активно обходит антивирусные защиты. Примечательно, что его шифрование файлов и управление потоками организовано для повышения эффективности и скрытности.

Группа исследователей Huntress отмечает, что SafePay использует проверенные инструменты, такие как PowerShell-скрипты для поиска сетевых ресурсов и WinRAR для архивирования данных. Это указывает на высокую опытность злоумышленников, а также на необходимость усиления киберзащиты компаний, особенно при использовании RDP.

Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Правилах сервиса
Анализ
×
The Open Network
Продукты
5
DaaS (Desktop as a Service)
Технологии
2