SafePay Ransomware: Ein digitales Erpressungssystem, das Dateien als Geisel hält
Table of Contents
Die Funktionsweise der SafePay-Ransomware
SafePay Ransomware ist eine Art digitales Erpressungstool, das die Dateien der Opfer verschlüsselt und sie bis zur Zahlung eines Lösegelds unzugänglich macht. Wie andere Ransomware-Bedrohungen zielt es auf Unternehmen und Einzelpersonen ab, sperrt wichtige Daten und verlangt eine Zahlung im Austausch für die Wiederherstellung. Dieser spezielle Stamm hinterlässt eine deutliche Markierung auf kompromittierten Dateien, indem er „.safepay“ an ihren Namen anhängt. Beispielsweise würde eine Datei mit dem ursprünglichen Namen „document.pdf“ in „document.pdf.safepay“ umbenannt, was auf ihre Verschlüsselung hinweist.
Zusätzlich zur Verschlüsselung von Dateien generiert SafePay eine Lösegeldforderung mit dem Titel „readme_safepay.txt“, die den Opfern Anweisungen zur Kommunikation mit den Angreifern gibt. In der Anweisung heißt es, dass der Angriff durch „Sicherheitsfehlkonfigurationen“ im Netzwerk des Opfers möglich wurde. Die Cyberkriminellen behaupten, vertrauliche Daten gestohlen zu haben und drohen, diese preiszugeben, wenn ihre Forderungen nicht erfüllt werden.
Hier ist, was in der Lösegeldforderung steht:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Lösegeldforderungen und Erpressungstaktiken
Im Gegensatz zu anderen Ransomware-Bedrohungen, die sich nur auf die Dateiverschlüsselung konzentrieren, verfolgt SafePay einen aggressiveren Ansatz, indem es die Datenexfiltration in seine Angriffsstrategie einbezieht. Die Angreifer behaupten, sie hätten Finanzunterlagen, geistiges Eigentum, Personal- und Kundeninformationen, Bankdaten und Rechtsdokumente erbeutet. Sie nutzen diese gestohlenen Daten als Druckmittel und warnen die Opfer, dass ihre vertraulichen Dateien bei Nichtbefolgung öffentlich zugänglich werden.
Den Opfern wird eine strikte Frist von 14 Tagen gesetzt, um über das Tor-Netzwerk Kontakt aufzunehmen. Erfolgt innerhalb dieser Frist keine Kommunikation, erhöhen die Angreifer den Druck, indem sie einen Blog-Beitrag veröffentlichen, in dem sie den Datendiebstahl bekannt geben. Dieser Beitrag enthält einen dreitägigen Countdown, bevor die gestohlenen Dateien freigegeben werden, wodurch die Opfer noch stärker unter Druck gesetzt werden, das Lösegeld zu zahlen.
Die Risiken der Zahlung des Lösegelds
Die Zahlung des Lösegelds mag zwar der schnellste Weg sein, um wieder Zugriff auf verschlüsselte Dateien zu erhalten, doch sie birgt erhebliche Risiken. Cyberkriminelle sind nicht verpflichtet, ihre Versprechen einzuhalten, und es gibt keine Garantie dafür, dass sie nach Erhalt der Zahlung ein funktionierendes Entschlüsselungstool bereitstellen. Darüber hinaus ermutigt die Finanzierung von Ransomware-Betreibern diese, ihre Angriffe fortzusetzen, was dazu führt, dass mehr Opfer ähnlichen Machenschaften zum Opfer fallen.
Die beste Alternative zur Zahlung des Lösegelds ist die Erstellung sicherer, aktueller Backups wichtiger Dateien. Doch selbst mit Backups ist es wichtig, die Ransomware von einem betroffenen System zu entfernen. Andernfalls kann es passieren, dass neue oder wiederhergestellte Dateien weiterhin verschlüsselt werden, wodurch der Backup-Prozess wirkungslos wird.
So verbreiten sich Ransomware-Bedrohungen
Wie viele andere Bedrohungen (z. B. Cloak Ransomware oder CmbLabs Ransomware ) nutzt SafePay Ransomware mehrere Verbreitungstaktiken, um Systeme zu infiltrieren. Cyberkriminelle verwenden häufig irreführende E-Mails, die als legitime Korrespondenz getarnt sind, um Empfänger dazu zu verleiten, bösartige Anhänge zu öffnen oder auf gefährliche Links zu klicken. Diese Phishing-E-Mails können als Rechnungen, Versandbestätigungen oder dringende Nachrichten getarnt sein, die sofortige Aufmerksamkeit erfordern.
Eine weitere häufige Infektionsmethode sind Software-Schwachstellen. Veraltete Betriebssysteme oder Anwendungen bieten Angreifern einen Einstiegspunkt, um Ransomware zu installieren, ohne dass eine Benutzerinteraktion erforderlich ist. Darüber hinaus können SafePay und ähnliche Bedrohungen in Raubkopien, Schlüsselgeneratoren und gecrackten Programmen eingebettet sein und Systeme infizieren, sobald sie ausgeführt werden.
Vorbeugende Maßnahmen gegen Ransomware
Um vor Ransomware geschützt zu sein, ist ein proaktiver Ansatz zur Cybersicherheit erforderlich. Benutzer sollten beim Umgang mit E-Mails von unbekannten Absendern vorsichtig sein und unerwünschte Anhänge und Links vermeiden. Das Herunterladen von Software nur aus offiziellen Quellen und das Aktualisieren aller Anwendungen trägt dazu bei, das Risiko von Exploit-basierten Angriffen zu minimieren.
Darüber hinaus verringert sicheres Surfverhalten – wie das Vermeiden verdächtiger Werbung, Pop-ups und irreführender Websites – die Wahrscheinlichkeit, Opfer von Online-Betrug zu werden. Regelmäßiges Sichern wichtiger Dateien auf einem sicheren Offline-Speicher stellt sicher, dass selbst im Falle eines Angriffs eine Datenwiederherstellung möglich ist, ohne Lösegeldforderungen nachkommen zu müssen.
Abschließende Gedanken
SafePay Ransomware ist ein Beispiel für einen wachsenden Trend bei Cyber-Erpressungen, bei dem Angreifer Dateiverschlüsselung mit Datendiebstahl kombinieren, um Opfer unter Druck zu setzen, hohe Lösegelder zu zahlen. Die Lösegeldforderungen können zwar einschüchternd wirken, aber die Einhaltung der Lösegeldforderungen ist riskant und garantiert keine Datenwiederherstellung. Stattdessen bleiben vorbeugende Maßnahmen – wie das Aufbewahren von Backups, das Aufspielen von Sicherheitsupdates und Vorsicht im Internet – die beste Verteidigung gegen Ransomware-Bedrohungen.
