SafePay：新兴的网络犯罪运作揭秘

主要要点

• SafePay是一个新兴的网络犯罪集团，目前已经造成22名受害者。
• 该集团使用基于LockBit的勒索软件，并利用弱点进行网络攻击。
• 研究者发现该集团的行为和技术与其他已知勒索集团相似，包括对UAC的绕过和数据收集。
• 有多种检测方法可用于识别SafePay的活动。

根据上周Huntress公布的报告，一个鲜为人知的网络犯罪运作集团SafePay目前已经攻击了22名受害者。Huntress发现，这个不知名的组织在2024年10月针对其客户发动了两起事件。由于SafePay网站和该组织的勒索软件的二进制文件存在弱点，研究者得以进行调查并反向工程其勒索软件。

SafePay的勒索信将受害者引导到一个Tor泄露网站以及一个名为“The OpenNetwork”的网站，后者自称为“去中心化和开放的互联网，由社区使用Telegram设计的技术创建”。

截至2024年11月14日，Tor网站上列出了22名受害者，研究人员发现该网站存在漏洞，使他们能够索引该网站的下载文件夹，并因Apache服务器状态端点的暴露而获得有关后端服务器的进一步细节。

在Huntress观察的两起事件中，目标公司的行业和地域不同。SafePay通过远程桌面协议（RDP）进入受感染的端点，并成功加密和提取数据后才被检测到。

SafePay的勒索软件战术借鉴其他团体

在调查事件时，Huntress指出，SafePay的勒索软件二进制文件似乎基于2022年底的经过深度分析的LockBit版本，并使用了其他组织的多种共通技术，包括INCRansomware和ALPHV/BlackCat。

该二进制文件容易被反向工程，其字符串使用简单的三步XOR回圈进行模糊处理，包含随机的单字节密钥、每个字符的索引以及kernel132.dll的首字节“M”。

在第一次SafePay勒索事件中，威胁行为者的PowerShell脚本ShareFinder.ps1被WindowsDefender阻止，随后他通过一系列的本地执行二进制文件（LOLBins）禁用了WindowsDefender，这与Huntress早些时候观察到的INC Ransomware攻击相同。

威胁行为者随后成功运行了ShareFinder.ps1，40分钟后开始使用WinRAR对文件进行打包，以准备数据外泄。攻击者还安装了FileZilla，可能是为了通过文件传输协议（FTP）传输被盗文件。在运行WinRAR和FileZilla后，威胁行为者卸载了这两个工具，然后第二天再次进行安装、执行和卸载的循环。

在再次通过RDP登录15分钟后，SafePay威胁行为者开始执行命令以加密网络上的文件、禁用恢复并删除影子副本。尽管Huntress的平台检测到了这些活动，但已经无法阻止文件的加密。

SafePay利用了一种被LockBit和ALPHV/BlackCat也曾使用的知名用户帐户控制（UAC）绕过特权提升方法，这一点可以作为检测SafePay和其他勒索软件活动的指标。

威胁行为者还使用了其他勒索活动中常见的手法，包括通过令牌模拟进行额外的特权提升、启用SeDebugPrivilege、通过ZwTerminateProcess和ControlService终止选定的进程和服务，并使用基于西里尔字母的紧急关闭开