SafePay Ransomware: uno schema di estorsione digitale che tiene in ostaggio i file
Table of Contents
La meccanica del ransomware SafePay
SafePay Ransomware è un tipo di strumento di estorsione digitale progettato per crittografare i file delle vittime, rendendoli inaccessibili fino al pagamento di un riscatto. Come altre minacce ransomware, prende di mira aziende e individui, bloccando dati cruciali e chiedendo il pagamento in cambio del ripristino. Questo particolare ceppo lascia un segno distintivo sui file compromessi aggiungendo ".safepay" ai loro nomi. Ad esempio, un file originariamente denominato "document.pdf" verrebbe rinominato "document.pdf.safepay", segnalandone la crittografia.
Oltre a crittografare i file, SafePay genera una nota di riscatto intitolata "readme_safepay.txt", che fornisce alle vittime istruzioni su come comunicare con gli aggressori. La nota afferma che l'attacco è stato reso possibile da "errate configurazioni di sicurezza" nella rete della vittima. I criminali informatici affermano di aver rubato dati sensibili e minacciano di farli trapelare se le loro richieste non saranno soddisfatte.
Ecco cosa dice la richiesta di riscatto:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Richieste di riscatto e tattiche di estorsione
A differenza di alcune minacce ransomware che si concentrano solo sulla crittografia dei file, SafePay adotta un approccio più aggressivo incorporando l'esfiltrazione dei dati nella sua strategia di attacco. Gli aggressori affermano di aver estratto registri finanziari, proprietà intellettuale, informazioni personali e dei clienti, dati bancari e documenti legali. Utilizzano questi dati rubati come leva, avvisando le vittime che la mancata osservanza comporterà l'esposizione pubblica dei loro file riservati.
Alle vittime viene data una scadenza rigorosa: 14 giorni per avviare il contatto tramite la rete Tor. Se non viene effettuata alcuna comunicazione entro questo periodo, gli aggressori aumentano la pressione pubblicando un post sul blog che annuncia la violazione dei dati. Questo post include un conto alla rovescia di tre giorni prima che i file rubati vengano rilasciati, costringendo ulteriormente le vittime a pagare il riscatto.
I rischi del pagamento del riscatto
Sebbene pagare il riscatto possa sembrare il modo più rapido per riottenere l'accesso ai file crittografati, comporta rischi significativi. I criminali informatici non hanno alcun obbligo di mantenere le promesse e non vi è alcuna garanzia che forniranno uno strumento di decrittazione funzionante dopo aver ricevuto il pagamento. Inoltre, finanziare gli operatori di ransomware li incoraggia a continuare i loro attacchi, portando più vittime a cadere preda di schemi simili.
La migliore alternativa al pagamento del riscatto è mantenere backup sicuri e aggiornati dei file importanti. Tuttavia, anche con i backup, rimuovere il ransomware da un sistema interessato è fondamentale. Non farlo potrebbe comportare la continua crittografia di file nuovi o ripristinati, rendendo inefficace il processo di backup.
Come si diffondono le minacce ransomware
Come molte altre minacce (ad esempio, Cloak Ransomware o CmbLabs Ransomware ), SafePay Ransomware si basa su più tattiche di distribuzione per infiltrarsi nei sistemi. I criminali informatici spesso utilizzano e-mail ingannevoli camuffate da corrispondenza legittima per indurre i destinatari ad aprire allegati dannosi o a cliccare su link pericolosi. Queste e-mail di phishing possono spacciarsi per fatture, conferme di spedizione o messaggi urgenti che richiedono attenzione immediata.
Un altro metodo di infezione comune riguarda le vulnerabilità del software. I sistemi operativi o le applicazioni obsoleti forniscono un punto di ingresso per gli aggressori per distribuire ransomware senza richiedere l'interazione dell'utente. Inoltre, SafePay e minacce simili possono essere incorporate in software pirata, generatori di chiavi e programmi craccati, infettando i sistemi non appena vengono eseguiti.
Misure preventive contro il ransomware
Per proteggersi dal ransomware è necessario un approccio proattivo alla sicurezza informatica. Gli utenti devono essere cauti quando interagiscono con e-mail provenienti da mittenti sconosciuti, evitando allegati e link indesiderati. Scaricare software solo da fonti ufficiali e mantenere aggiornate tutte le applicazioni aiuta a ridurre al minimo il rischio di attacchi basati su exploit.
Inoltre, adottare abitudini di navigazione sicure, come evitare annunci pubblicitari sospetti, pop-up e siti Web ingannevoli, riduce le possibilità di cadere vittima di truffe online. Eseguire regolarmente il backup dei file importanti su un archivio offline sicuro assicura che anche in caso di attacco, il recupero dei dati rimanga possibile senza dover soddisfare richieste di riscatto.
Considerazioni finali
SafePay Ransomware è un esempio di una tendenza crescente nell'estorsione informatica, in cui gli aggressori combinano la crittografia dei file con il furto di dati per fare pressione sulle vittime affinché paghino ingenti riscatti. Sebbene le richieste di riscatto possano essere intimidatorie, la conformità è rischiosa e non garantisce il recupero dei dati. Invece, adottare misure preventive, come il mantenimento di backup, l'applicazione di aggiornamenti di sicurezza e l'esercizio di cautela online, rimane la migliore difesa contro le minacce ransomware.
