【安全资讯】SafePay勒索软件:一种具有复杂技术的新威胁

安恒恒脑 2024-11-18 19:04:54 133人浏览

概要:

在网络安全领域,新的勒索软件威胁不断涌现。2024年10月,Huntress分析师发现了一种名为SafePay的勒索软件,其独特的加密文件扩展名为.safepay,且伴随有名为readme_safepay.txt的赎金说明。这种勒索软件的出现不仅显示了攻击者的高超技术,也揭示了其与老牌勒索软件家族LockBit的潜在联系。

主要内容:

SafePay勒索软件的攻击通常遵循两阶段模型:数据收集与外泄。在首次观察到的事件中,攻击者利用WinRAR对多个主机的数据进行归档,并通过FileZilla进行外泄。Huntress分析师指出,这一过程可能是网络数据的外泄,且攻击者在每次使用后卸载工具,以掩盖其踪迹。

在加密部署阶段,攻击者通过远程桌面协议(RDP)访问,利用PowerShell执行勒索脚本,针对网络共享进行攻击。他们使用命令禁用影子副本,并篡改启动配置,以阻碍恢复工作。其赎金说明以“您好!您的企业网络已被SafePay团队攻击”开头,包含了谈判归还被盗数据的指示。

SafePay展现出一系列先进的能力以最大化其影响力,包括通过COM对象技术绕过用户账户控制(UAC)和提升权限,以及采用字符串混淆和线程创建方法来规避传统检测技术。此外,SafePay在加密文件之前会检查系统语言,以避免感染东欧国家的机器,这在勒索软件团伙中是一种常见策略。尽管SafePay相对较新,但其复杂的战术和与LockBit的联系使其对各行业组织构成了重大威胁。
勒索软件 数据泄露 金融 医疗卫生
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。