一种新型勒索软件已成为 2025 年传播最广的网络犯罪活动之一 —— 仅 6 月一个月,SafePay 勒索软件就宣称对 73 家受害机构发起了攻击,7 月又新增 42 家受害者。
此次攻击激增使得 SafePay 成为全球安全团队必须了解并做好防御准备的重大威胁行为体。
与传统依赖附属网络的 “勒索软件即服务”(RaaS)模式不同,SafePay 采用封闭的独立团队运作模式,并严格执行运营安全规范。
该团伙采用的 “快速攻击法” 效果显著,2025 年全年已记录到其宣称的受害者数量超过 270 家。
他们的攻击目标主要是美国、德国、英国和加拿大的中型及大型企业,重点针对对日常运营至关重要的行业,包括制造业、医疗保健业和建筑业。
(受影响最严重的行业(来源:比特梵德(Bitdefender)))
该团伙的出现可追溯至 2024 年 9 月,当时执法部门开展了大规模行动,摧毁了 ALPHV(“黑猫”)勒索软件团伙,并通过 “克罗诺斯行动”(Operation Cronos)严重破坏了 LockBit 勒索软件的基础设施,SafePay 正是在这一背景下应运而生。
比特梵德的分析师发现,SafePay 勒索软件的部分功能与 LockBit(尤其是 LockBit Black 版本)的功能互补,不过两个团伙的运作方法和加密流程存在明显差异。
SafePay 具备在 24 小时内完成完整攻击链的惊人能力 —— 从初步入侵到文件加密,整个过程效率极高,破坏性极强。
(SafePay 每日宣称的受害者数量(来源:比特梵德))
该团伙选择受害者的方式看似具有计划性,目标机构的营收通常在 500 万美元左右,但也有例外情况:部分受害实体营收超过 1 亿美元,其中一家受害者的营收甚至超过 400 亿美元。
SafePay 采用了复杂的技术手段,与其他勒索软件家族形成鲜明区别。
该恶意软件使用 ChaCha20 加密算法,对每个加密文件采用独特的对称密钥,同时还会将额外密钥直接嵌入勒索软件可执行文件中。
这种 “双密钥” 机制加大了数据恢复难度,且确保每位受害者的加密过程都具有唯一性和安全性。
SafePay 展现出先进的防御规避能力,包括避免被调试器检测,以及终止与反恶意软件功能相关的进程。
一旦执行,SafePay 会立即删除卷影副本(以阻止系统恢复),随后对文件进行加密并添加 “.safepay” 后缀,同时在受影响目录中放置名为 “readme_safepay.txt” 的勒索信。
该恶意软件一个显著的技术特征是其 “地理靶向逻辑”:
SafePay 会通过检测键盘语言来识别使用西里尔字母键盘的系统,并阻止自身在这类系统上执行。这一特征暗示该威胁行为体可能与俄罗斯存在关联,或在威胁行为体生态系统中与俄罗斯相关团伙存在联盟关系。
版权声明·<<<---红客联盟--->>>·免责声明
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
联系我们:admin@chnhonker.com
