В 2025 году SafePay стал заметным злоумышленником в ландшафте программ-вымогателей, привлекая внимание быстрыми и скоординированными атаками. По данным отчёта, только в июне жертвами SafePay стали 73 организации, а в июле — ещё 42. Группа действует независимо от моделей Программа‑вымогатель как услуга (RaaS) и не входит в известные объединения наподобие LockBit, демонстрируя высокий уровень оперативной автономии и секретности.
Краткая ретроспектива и динамика активности
Оперативная активность SafePay началась в сентябре 2024 года после серии успешных действий правоохранительных органов против ряда предыдущих групп вымогателей и их инфраструктуры. С самого старта группа показала склонность к «blitz»-тактике — быстрой масштабной компрометации нескольких жертв за короткий промежуток времени.
«20 ноября 2024 года группа сообщила о 23 жертвах всего за 24 часа» — отмечает исследование.
Виктимология и целевая стратегия
Виктимология SafePay указывает на преимущественную ориентацию на организации среднего размера и малый бизнес, особенно в развитых юрисдикциях: Соединённые Штаты, Германия, Великобритания и Канада. Такая стратегия объясняется сочетанием высокой зависимости от IT-инфраструктуры и ограниченных ресурсов на полноценную киберзащиту, что делает эти организации уязвимыми к давлению через угрозу утечки данных и влиянию на репутацию.
Тактики, методы и процедуры (TTP)
SafePay применяет комплексную тактику, сочетающую классические и адаптированные приёмы атак. Ключевые элементы TTP включают:
- Первичный доступ: раскрытие учетных данных, атаки перебором и password spraying, эксплуатация уязвимостей в VPN-устройствах; в ряде случаев — социальная инженерия с целью выдать себя за IT‑персонал и внедрить RMM-инструменты.
- Расширение присутствия и латеральное перемещение: использование скриптов вроде ShareFinder для картирования сети и выявления ценных ресурсов; применение инструментов вроде PsExec для выполнения команд и перемещения внутри сети.
- Эксфильтрация данных: приоритет конфиденциальной информации — финансовые отчёты, IP, клиентские базы; для упаковки и передачи данных используются инструменты сжатия и передачи, такие как WinRAR и FileZilla.
- Шифрование и шантаж: шифрование файлов с расширением .safepay и размещение файла с требованием выкупа readme_safepay.txt в зашифрованных каталогах.
- Антидетекционные меры: попытки уклонения от EDR/AV, прерывание процессов, связанных с защитой, и минимизация взаимодействия с публичными криминальными форумами.
Операционные характеристики и особенности
Несколько характеристик выделяют SafePay среди других групп:
- оперативная автономность — отсутствие привязки к RaaS и внешним партнёрам;
- высокая секретность и минимальное присутствие на публичных площадках;
- склонность к массовым «blitz»-атакам, повышающим давление на отдельные организации;
- ориентация на максимизацию ущерба за короткий промежуток времени — как по количеству компрометаций, так и по качеству похищенных данных.
Рекомендации для организаций
Противодействие таким угрозам, как SafePay, требует многоуровневого подхода, сочетающего превентивные меры, средства обнаружения, готовность к реагированию и восстановлению. Рекомендуемые практики включают:
- внедрение многофакторной аутентификации (MFA) для всех удалённых доступов и привилегированных аккаунтов;
- регулярное обновление и исправление уязвимостей VPN и критичных внешних сервисов;
- жёсткая политика паролей и мониторинг аномалий входа (alerts на password spraying/brute-force);
- ограничение и контроль над установкой RMM-инструментов, контроль команд и действий удалённых администраторов;
- сегментация сети и минимизация привилегий для уменьшения размаха латерального перемещения;
- развёртывание EDR/NGAV с регулярными проверками целостности процессов и средств защиты;
- шифрование резервных копий и хранение их в изолированных, оффлайновых или иммутабельных хранилищах;
- план реагирования на инциденты с отработанными сценариями восстановления и коммуникаций (PR/юридические);
- регулярные учения по incident response и proactive threat hunting для обнаружения ранних индикаторов компрометации;
- мониторинг утечек данных и готовность к взаимодействию с правоохранительными органами.
Вывод
SafePay демонстрирует, что современные операторы программ-вымогателей всё чаще уходят от клише RaaS-моделей и выбирают более закрытые, автономные подходы с фокусом на скорость и масштаб. Для организаций это означает необходимость не только усиления базовой кибергигиены, но и построения скоординированной стратегической защиты, способной противостоять быстрым, многоэтапным атакам и минимизировать риск утечек и длительной недоступности сервисов.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "SafePay: тактики, жертвы и всплеск blitz-атак 2024–2025".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.