2025’in en üretken siber suçlu operasyonlarından biri olarak yeni bir fidye yazılımı tehdidi ortaya çıktı ve Safepay fidye yazılımı sadece Haziran ayında 73 kurban kuruluşuna karşı saldırı talep etti ve bunu Temmuz ayında 42 ek kurban izledi.
Bu dalgalanma, SafePay’ı dünya çapında güvenlik ekiplerinin anlaması ve savunmaya hazırlanması gereken önemli bir tehdit oyuncusu olarak konumlandırmıştır.
Bağlı kuruluş ağlarına dayanan geleneksel fidye yazılımı (RAAS) modellerinden farklı olarak, SafePay, sıkı operasyonel güvenliği koruyan kapalı, bağımsız bir grup olarak çalışır.
Grubun hızlı ateş saldırısı metodolojisi, 2025 yılı boyunca 270’den fazla iddia edilen kurban belgelenerek oldukça etkili olduğunu kanıtladı.
Operasyonları, üretim, sağlık ve inşaat da dahil olmak üzere günlük operasyonlar için kritik endüstrilere odaklanan Amerika Birleşik Devletleri, Almanya, Büyük Britanya ve Kanada genelinde öncelikle orta büyüklükteki ve kurumsal kuruluşları hedeflemektedir.
.webp)
Grubun ortaya çıkışı, ALPHV’yi (kara kedi) söken ve Cronos Operasyonu yoluyla Lockbit’in altyapısını ciddi şekilde bozan önemli kolluk operasyonlarının ardından ortaya çıkan Eylül 2024’e kadar izlenebilir.
Bitdefender analistleri, SafePay fidye yazılımlarının kilitbit, özellikle Lockbit siyah ile ilişkili işlevleri tamamlayan kısımlarını belirledi, ancak gruplar belirgin şekilde farklı metodolojiler ve şifreleme işlemleri ile çalıştı.
SafePay, 24 saatlik süreler içinde tam saldırı zincirlerini yürütmek için endişe verici bir özellik gösterir ve başlangıç erişiminden şifreleme yoluyla yıkıcı verimlilikle hareket eder.
.webp)
Kurban seçimleri metodik görünmektedir, gelirleri tipik olarak 5 milyon dolar olan kuruluşları hedefleyen, aykırı değerler 100 milyon doları aşan gelirleri ve bir kurbanın 40 milyar doları aşan gelirleri içeriyor.
Şifreleme ve kaçınma mekanizmaları
SafePay, onu diğer fidye yazılımı ailelerinden ayıran sofistike teknik yaklaşımlar kullanır.
Kötü amaçlı yazılım, ChaCha20 şifreleme algoritmasını kullanır ve her şifreli dosya için benzersiz simetrik anahtarlar uygular ve ek anahtarları doğrudan fidye yazılımı yürütülebilir içine yerleştirir.
Bu çift anahtar yaklaşımı, iyileşme çabalarını zorlaştırır ve her kurbanın şifrelemesinin benzersiz bir şekilde güvence altına alınmasını sağlar.
Fidye yazılımı, hata ayıklayıcı algılama önleme ve kötü amaçlı yazılım önleme fonksiyonları ile ilişkili süreçleri sonlandırma yeteneği de dahil olmak üzere gelişmiş savunma kaçırma yeteneklerini gösterir.
Yürütme üzerine SafePay, sistem restorasyonunu önlemek için hacim gölge kopyalarını hemen kaldırmaya başlar, ardından etkilenen dizinlerde “Readme_Safepay.txt” adlı fidye notlarını dağıtarken dosyaları .Safepay uzantısı ile şifrelemeye devam eder.
Dikkate değer bir teknik özellik, kötü amaçlı yazılımın coğrafi hedefleme mantığını içerir.
SafePay, Kiril klavyeleri kullanarak sistemleri tanımlamak, bu sistemlerde yürütmeyi önlemek, potansiyel Rus bağlantılarını veya tehdit oyuncusu ekosistemindeki ittifakları önermek için dil klavye algılaması gerçekleştirir.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.