Ortaya çıkan bir fidye yazılımı grubu olan Safepay, 2025’te müstehcenlikten kötü şöhrete hızla yükseldi. Sadece Haziran ayında, grup 73 kuruluşa yönelik saldırıların sorumluluğunu üstlenerek Bitdefender’ın ay için tehdit bilgilendirme sıralamalarını tamamladı.
Temmuz 42 ile başka bir dalgalanma gördü Kurbanlar ücretine eklendi. Bu yıl bugüne kadar 270’den fazla iddia edilen kurbanla, SafePay’ın gizli yöntemleri ve Hizmet Olarak Fidye Yazılımı (RAAS) modelinin reddedilmesi, onu siber suç ekosisteminde benzersiz bir tehlikeli aktör olarak işaret ediyor.
SafePay ilk olarak, küresel kolluk kuvvetlerinin ALPHV (Blackcat) operasyonunu bozmasından ve Cronos Operasyonu sırasında kilitbit altyapısını ele geçirmesinden kısa bir süre sonra Eylül 2024’te ortaya çıktı.
İlk adli analiz, özellikle Chacha20 şifreleme algoritmasının kullanımı SafePay ve Lockbit Black arasındaki kod benzerliklerini ortaya çıkardı.
Bununla birlikte, SafePay anahtar açılardan ayrılır: Her dosya için benzersiz bir simetrik anahtar oluşturur ve fidye yazılımı içine bir ana anahtar yerleştirirken, Lockbit bağlı kuruluşlar paylaşılan bir anahtar yönetim yaklaşımı kullanır.
SafePay ayrıca satış ortağı modelini tamamen terk ederek operasyonları ve karları üzerinde tam kontrolü korur.
Lockbit ve diğer birçok fidye yazılımı grubunun aksine, SafePay bir bağlı kuruluş programının reklamını yapmaz veya üçüncü taraf operatörleri içerir.
Tek kamusal varlığı, şifrelemeden sonra kurbanları listeleyen bir veri sızıntısı sitesidir. Açık kaynaklı bir ekosistemden kaçınarak SafePay, kod sızıntıları, altyapı maruziyeti ve içeriden ihanet riskini en aza indirir.
Bu kapalı model aynı zamanda grubun fidye ödemelerinin yüzde 100’ünü cebine ve potansiyel olarak yüksek değerli ödemeler talep etme yeteneğini açıklamasına izin verir.
Kurban
SafePay kurbanları, ABD, Almanya, İngiltere ve Kanada’daki orta büyüklük ve işletme kuruluşlarını kapsamaktadır. Hedeflenen endüstriler arasında imalat, sağlık, inşaat, eğitim, araştırma, hükümet ve teknoloji hizmetleri bulunmaktadır.
Bu sektörler, mevcudiyet kesintilerine karşı özellikle savunmasızdır, bu da kurbanların operasyonel duruş süresini ve itibar hasarını önlemek için fidye taleplerini kabul etme olasılığını artırır.
Hedeflenen kuruluşların gelir profilleri tipik olarak 5 milyon ABD dolarının hemen üzerinde ilerlemektedir, ancak aykırı değerler gelirleri 100 milyon ABD Doları’nı aşan on şirket ve 40 milyar ABD Doları üzerinde kazanç bildiren bir muazzam kurban içermektedir. Boyuttan bağımsız olarak, kurbanlar hızlı şifreleme ile karşı karşıya: SafePay, ilk erişimden tam şifrelemeye 24 saat veya daha kısa sürede geçişler.
Safepay’ın imza taktiği, tek bir günde 10 veya daha fazla kurban grubunu yayınlayan blitz saldırılarını içeriyor.
20 Kasım 2024’te 23 kuruluşu listeledi; 30 Mart 2025’te 29 ile kişisel bir rekor kırdı.
Qilin ve Akira gibi en iyi Raas grupları da hızlı ateş kampanyalarını serbest bırakırken-Qilin’in zirvesi 12 Haziran 2025’te bir günde 19 kurban iken, Akira 6 Nisan 2025’te 32 kurbana ulaştı-Safilate olmayan model rakipleri ve bazen bu sayıları aştı.
Bununla birlikte, SafePay’ın saldırılarına kurban düşen kuruluşların ortalama geliri, son dört ay içinde oldukça tutarlı olmuştur ve bildirilen birçok kurban kuruluşu, 5 milyon dolarlık aralığın hemen üzerinde veya hemen üzerinde gelir elde etmektedir.
Uzmanlar, değerli ağ paylaşımlarını hızlı bir şekilde bulmak için yeniden tasarlanan shareFinder.ps1 (Invoke-sheefinder) gibi meşru araçlar kullanarak bu modeli hedeflenen keşiflere bağlar.
Bilinen güvenlik açıklarının kullanılması ve karaya oturma teknikleri SafePay’ın sızma ve infazını daha da hızlandırır.
SafePay’ın Veri Sızıntısı Sitesi Kasım 2024’te çıkış yaptı ve yakın zamanda şunları kabul etti: “© Herkes yaratılışın şiddetinden kurtulamaz.”
Bu ifade, grup üyeleri arasındaki olası İngiltere bağlantılarını ima eden İngiliz tiyatro prodüksiyon garip fabrikalarından geliyor.
Ayrıca, SafePay’ın fidye yazılımı Kirillic klavye düzenleri için kontrol eder, Kirillic’in etkinleştirildiği sistemlerde yürütülmeyi reddeder-Rusça hedeflerinden veya ittifaklardan kasıtlı bir şekilde kaçınarak Rusça konuşan varlıklarla.
Taktikler, teknikler ve prosedürler
SafePay’ın öldürme zinciri şunları içerir:
- İlk Erişim: BT-Isporting yoluyla kimlik bilgisi kaba zorlama, VPN cihaz sömürüsü ve sosyal mühendislik.
- Keşif: Network Paylaşım numaralandırma için ShareFinder gibi komut dosyalarının dağıtılması.
- Yanal hareket: Psexec ve RMM araçlarının kullanımı.
- Püskürtme: Winrar ile sıkıştırma ve FileZilla üzerinden veri aktarımı.
- Fidye yazılımı dağıtım: Gölge kopya silme, bir .safepay uzantısı ile şifreleme ve
readme_safepay.txtFidye notu. - Savunma: Debugger karşıtı tespit ve güvenlik süreçlerinin sonlandırılması.
Mağdurlar şifre çözme müzakereleri için benzersiz bir kimlik alır ve verileri kamuya açıklanmadan önce Bitcoin’de ödemek için on gün geçirir.
Hafifletme
Güvenlik ekiplerinden, önleme, koruma, tespit ve yanıt birleştiren çok katmanlı bir savunma benimsemeleri istenir:
- Tüm erişim için çok faktörlü kimlik doğrulamayı zorlayın.
- VPN aletlerini ve kritik altyapıyı düzenli olarak güncelleyin ve düzenleyin.
- Titiz şifre politikaları uygulayın.
- Bitdefender Intellizone gibi gelişmiş tehdit istihbarat platformlarından yararlanın.
- Olay araştırması ve adli tıp yetenekleri ile sürekli izleme kullanın.
- Saldırı yüzeylerini azaltmak için GravityZone PHASR gibi davranışsal analiz araçlarını kullanarak sert sistemler.
SafePay agresif kampanyasına devam ettikçe, kuruluşlar bu hızla gelişen fidye yazılımı tehdidine karşı dayanıklılık ve hazırlıkları artırmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.