Yeni bir fidye yazılımı tehdidi, 2025’in en agresif siber suçlu operasyonlarından biri olarak ortaya çıktı ve SafePay fidye yazılımı, birden fazla kıtayı kapsayan 265’den fazla başarılı saldırı için sorumluluk iddia etti.
İlk olarak Eylül 2024’te 20’den fazla kurbanı hedefleyen sınırlı faaliyetle ortaya çıkan grup, 2025’in başından beri operasyonlarını önemli ölçüde artırdı ve kendisini küresel fidye yazılımı manzarasında zorlu bir güç olarak kurdu.
Bağlı kuruluş ağlarına dayanan geleneksel fidye yazılımı operasyonlarının aksine, SafePay merkezi bir tehdit aktörü olarak çalışır ve doğrudan kendi altyapıları ve personeli aracılığıyla saldırılar yürütür.
%20(Source%20-%20SOCRadar).webp)
Bu operasyonel model, veri şifrelemesini karanlık ağ sızıntı sitelerinde çalınan hassas bilgilerin tehdit altındaki yayınlanmasıyla birleştiren sofistike çift genişlemeli şemalar yürütürken, grubun kampanyaları üzerinde daha sıkı kontrolü sürdürmesini sağladı.
SafePay kurbanlarının coğrafi dağılımı, öncelikle gelişmiş ekonomilere odaklanan hesaplanmış bir hedefleme stratejisini ortaya koymaktadır.
Amerika Birleşik Devletleri, bilinen tüm davaların yaklaşık% 40’ını temsil eden 103 onaylanmış kurbanla saldırıların yükünü taşıyor ve bunu 47 belgelenmiş olayla Almanya izliyor.
Ek hedefler Birleşik Krallık, Avustralya, Kanada ve Latin Amerika ve Asya-Pasifik bölgelerindeki çeşitli ülkelerde yer almaktadır.
Sokradar analistleri, SafePay’ın, gömülü bir dil tespit mekanizması yoluyla Bağımsız Devletler Topluluğu ülkelerindeki kuruluşların hedeflenmesini kasıtlı olarak önlediğini belirledi.
Kötü amaçlı yazılım, enfekte sistem Ermeni, Azerbaycan, Belarus, Gürcü, Kazak, Rus veya Ukrayna dilleri için yapılandırılmışsa, derhal fesihine neden olan sert kodlanmış kontroller içerir, bu da operatörlerin bu yargı bölgelerinde savcılıktan kaçınmaya çalıştıklarını düşündürmektedir.
Fidye yazılımı, imalat, teknoloji, eğitim ve iş hizmetleri sektörlerine karşı özel bir etkinlik göstermektedir, ancak hiçbir endüstri erişimine karşı bağışık görünmez.
Sağlık, ulaşım, finans ve kamu hizmetleri kuruluşları da grubun operasyonlarına kurban düştü ve bu da sektöre özgü bir hedefleme yaklaşımından ziyade fırsatçı bir şey gösterdi.
Gelişmiş kalıcılık ve kaçınma mekanizmaları
SafePay’ın teknik sofistikesi, çok katmanlı kalıcılık ve savunma kaçırma stratejileri ile belirginleşir.
.webp)
Kötü amaçlı yazılım, uzun vadeli ağ varlığını sürdürmek için ConnectWise ScreAnconnect gibi meşru uzaktan erişim araçlarını kullanır ve bu uygulamaları meşru idari faaliyetlerle sorunsuz bir şekilde harmanlayan kalıcı hizmetler olarak yükler.
Bu yaklaşım, özellikle saldırganların kurulum için geçerli kimlik bilgilerine sahip olduğunda, uç nokta koruma sistemleri tarafından tespit olasılığını önemli ölçüde azaltır. Grubun savunma kaçırma yetenekleri basit antivirüs baypas tekniklerinin ötesine uzanır.
SafePay operatörleri, yönetim komutları ve grup ilkesi değişiklikleri aracılığıyla Microsoft Defender’ı ve diğer güvenlik çözümlerini sistematik olarak devre dışı bırakır, klasör hariç tutma ve gerçek zamanlı koruma özelliklerini devre dışı bırakır.
.webp)
Kötü amaçlı yazılımın kendisi, imza tabanlı algılama sistemlerinden kaçınmak için şifreli dizeler, dinamik yükleme ve sofistike paketleme mekanizmaları kullanır.
# Example command used to disable Windows Defender
Set-MpPreference -DisableRealtimeMonitoring $true
Set-MpPreference -DisableBehaviorMonitoring $true
Add-MpPreference -ExclusionPath "C:\Windows\Temp"Kayıt Defteri Kalıcılık Mekanizmaları, kötü amaçlı yazılımın sistemin yeniden başlatılmasını sağladığından ve ilk uzlaşma vektörlerinin keşfedildikten ve iyileştirildikten sonra bile erişimi sürdürmesini sağlar.
Tehdit aktörleri, ek komut yürütme ve ağ tünelleme özellikleri için qDoor gibi özel backdoları aynı anda dağıtırken, araçlarının aktif kalmasını garanti etmek için başlangıç girişleri oluşturur ve sistem yapılandırmalarını değiştirir.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin