Safepay fidye yazılımı, siber güvenlik sahnesinde şok edici bir gelişme olan 1 2025’te en aktif ve yıkıcı tehdit aktörlerinden biri haline geldi.
Acronis Tehdit Araştırma Birimi’ne (TRU) göre, Safepay, çeşitli sektörlerde yönetilen hizmet sağlayıcıları (MSP’ler) ve küçük-ortadan ortadan ortama işletmeler (KOBİ’ler) dahil olmak üzere dünya çapında 200’den fazla kurbanı agresif bir şekilde hedefledi.
Bağlı kuruluşlara sahip bir Hizmet Olarak Fidye Yazılımı (RAAS) modeli altında çalışan birçok fidye yazılımı grubunun aksine, SafePay operasyonları, altyapısı ve müzakereleri üzerinde merkezi kontrolü sürdürür.
Çeyrek 2025’te hızlı bir artış
Bu stratejik yaklaşım, geri dönüştürülmüş ancak son derece etkili taktiklerle birleştiğinde, grubun binlerce ortak ve MSP’ye hizmet veren küresel bir distribütör olan Ingram Micro’nun son bozulması gibi yıkıcı saldırılar gerçekleştirmesini sağladı.
SafePay’ın hızlı yükseliş ve sofistike yöntemleri, ağlarını bu tür sinsi tehditlerden korumaya çalışan kuruluşlar için artan bir zorluğu vurgulamaktadır.
İlk olarak 2024’te ilk yılda 20’den fazla kurbanla tanımlanan Safepay, kaynak kodu 2022’de sızdırılan rezil Lockbit Fidyeware ailesine, özellikle Lockbit 3.0’a (Lockbit Black olarak da bilinir) benzerlikler.
TRU tarafından yapılan analiz, sahte derleme zaman damgalarına sahip PE32 DLL dosyaları olarak tanımlanan SafePay örneklerinin, kodlanmış dizeler, yürütme sırasında Winapi adreslerinin dinamik çözünürlüğü ve pratik amaca sahip olmayan, ancak karmaşık analizi içeren sıralı API çağrıları olan kukla fonksiyonların kullanımının dahil olmak üzere lockbit ile birden fazla özelliği paylaştığını ortaya koymaktadır.
Ayrıca, SafePay tam yürütme için bir şifre istemek, ayrıcalık artışı için cmstplua com arayüzünü kötüye kullanma ve hata ayıklamadan kaçınmak için ‘ThreadhideFromdebugger’ bayrağını ayarlama gibi taktikler kullanır.
Teknik sofistike
Fidye yazılımı, kaçınma için belirli sistem dillerini hedefler ve savunmaları devre dışı bırakmak için SQL, Veeam ve Sophos gibi kritik süreçleri ve hizmetleri sona erdirir.
SAFEPAY, uç nokta korumasını (Windows Defender gibi) devre dışı bırakmak için çalınan kimlik bilgilerini kullanarak RDP ve VPN bağlantıları aracılığıyla ağlara sızar.
Open-Source ShareFinder.ps1 komut dosyası gibi araçları kullanarak, saldırganlar ağ paylaşımlarını tanımlar, Winrar ile hassas verileri toplar ve güçlü bir AES-RSA kombinasyonu ile şifrelemeden önce dosyaları bir ‘.Safepay’ uzantısı ile yeniden adlandırırlar.
Bu çift genişlemeli strateji veri hırsızlığı, ardından şifreleme kurbanları fidye ödemek için baskıyı arttırır.
SafePay’ın şifreleme işlemi, birden fazla tuşla XOR tabanlı dize şifrelemesini, dinamik kütüphane yüklemesini (örneğin, advapi32.dll, ntdll.dll) ve şifreleme yüzdesi ve ağ sürücü hedeflemesi gibi özelleştirilebilir yürütme seçenekleri için bağımsız değişkenlik içeren titizdir.
Fidye yazılımı ayrıca Windows kayıt defterini başlangıçta yürütecek şekilde değiştirerek kalıcılık oluşturur ve yedeklemeleri silmek ve kurtarma seçeneklerini devre dışı bırakmak için komutlar kullanır ve mağdurların sınırlı başvurusu sağlar.
Çıkarılabilir ve sabit sürücülere odaklanan SafePay, verimlilik için çok iş parçacıklı işlemler kullanırken dosyaları sistematik olarak şifreler, bu da onu fidye yazılımı alanında zorlu bir düşman haline getirir.
Kuruluşlardan RDP ve VPN tabanlı müdahalelere karşı savunmalarını desteklemeleri ve bu göstergelerin SafePay’ın ortaya koyduğu riski azaltması için izlemeleri istenir.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Dosya (SHA256) | A0DC80A37B7E2716C02A94ADC8DF9BAEDEC192A77BDE31669FAED228D9F526 |
| Ağ (URL) | http://nz4z6ruzcekriti5cjiylzvrmysyqwibxztk6voem4trtx7gstpjid.onion |
| E -posta | [email protected] |
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.