SafePay:新兴的网络犯罪运作揭秘
主要要点
- SafePay是一个新兴的网络犯罪集团,目前已经造成22名受害者。
- 该集团使用基于LockBit的勒索软件,并利用弱点进行网络攻击。
- 研究者发现该集团的行为和技术与其他已知勒索集团相似,包括对UAC的绕过和数据收集。
- 有多种检测方法可用于识别SafePay的活动。
根据上周Huntress公布的报告,一个鲜为人知的网络犯罪运作集团SafePay目前已经攻击了22名受害者。Huntress发现,这个不知名的组织在2024年10月针对其客户发动了两起事件。由于SafePay网站和该组织的勒索软件的二进制文件存在弱点,研究者得以进行调查并反向工程其勒索软件。
SafePay的勒索信将受害者引导到一个Tor泄露网站以及一个名为“The OpenNetwork”的网站,后者自称为“去中心化和开放的互联网,由社区使用Telegram设计的技术创建”。
截至2024年11月14日,Tor网站上列出了22名受害者,研究人员发现该网站存在漏洞,使他们能够索引该网站的下载文件夹,并因Apache服务器状态端点的暴露而获得有关后端服务器的进一步细节。
在Huntress观察的两起事件中,目标公司的行业和地域不同。SafePay通过远程桌面协议(RDP)进入受感染的端点,并成功加密和提取数据后才被检测到。
SafePay的勒索软件战术借鉴其他团体
在调查事件时,Huntress指出,SafePay的勒索软件二进制文件似乎基于2022年底的经过深度分析的LockBit版本,并使用了其他组织的多种共通技术,包括INCRansomware和ALPHV/BlackCat。
该二进制文件容易被反向工程,其字符串使用简单的三步XOR回圈进行模糊处理,包含随机的单字节密钥、每个字符的索引以及kernel132.dll的首字节“M”。
在第一次SafePay勒索事件中,威胁行为者的PowerShell脚本ShareFinder.ps1被WindowsDefender阻止,随后他通过一系列的本地执行二进制文件(LOLBins)禁用了WindowsDefender,这与Huntress早些时候观察到的INC Ransomware攻击相同。
威胁行为者随后成功运行了ShareFinder.ps1,40分钟后开始使用WinRAR对文件进行打包,以准备数据外泄。攻击者还安装了FileZilla,可能是为了通过文件传输协议(FTP)传输被盗文件。在运行WinRAR和FileZilla后,威胁行为者卸载了这两个工具,然后第二天再次进行安装、执行和卸载的循环。
在再次通过RDP登录15分钟后,SafePay威胁行为者开始执行命令以加密网络上的文件、禁用恢复并删除影子副本。尽管Huntress的平台检测到了这些活动,但已经无法阻止文件的加密。
SafePay利用了一种被LockBit和ALPHV/BlackCat也曾使用的知名用户帐户控制(UAC)绕过特权提升方法,这一点可以作为检测SafePay和其他勒索软件活动的指标。
威胁行为者还使用了其他勒索活动中常见的手法,包括通过令牌模拟进行额外的特权提升、启用SeDebugPrivilege、通过ZwTerminateProcess和ControlService终止选定的进程和服务,并使用基于西里尔字母的紧急关闭开