SafePay Ransomware: een digitaal afpersingsprogramma dat bestanden gijzelt
Table of Contents
De mechanismen van SafePay Ransomware
SafePay Ransomware is een type digitale afpersingstool die is ontworpen om de bestanden van slachtoffers te versleutelen, waardoor ze ontoegankelijk worden totdat er losgeld is betaald. Net als andere ransomware-bedreigingen richt het zich op bedrijven en individuen, vergrendelt het cruciale gegevens en eist het betaling in ruil voor herstel. Deze specifieke variant laat een duidelijk merkteken achter op gecompromitteerde bestanden door ".safepay" aan hun naam toe te voegen. Bijvoorbeeld, een bestand dat oorspronkelijk "document.pdf" heette, zou worden hernoemd tot "document.pdf.safepay", wat de versleuteling aangeeft.
Naast het versleutelen van bestanden genereert SafePay een losgeldnotitie met de titel "readme_safepay.txt", die slachtoffers instructies geeft over hoe ze met de aanvallers kunnen communiceren. De notitie vermeldt dat de aanval mogelijk werd gemaakt door "beveiligingsmisconfiguraties" in het netwerk van het slachtoffer. De cybercriminelen beweren gevoelige gegevens te hebben gestolen en dreigen deze te lekken als hun eisen niet worden ingewilligd.
Dit staat er in de losgeldbrief:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Losgeldeisen en afpersingstactieken
In tegenstelling tot sommige ransomware-bedreigingen die zich alleen richten op bestandsversleuteling, hanteert SafePay een agressievere aanpak door data-exfiltratie op te nemen in zijn aanvalsstrategie. De aanvallers beweren dat ze financiële gegevens, intellectueel eigendom, personeels- en klantgegevens, bankgegevens en juridische documenten hebben ontvreemd. Ze gebruiken deze gestolen gegevens als hefboom en waarschuwen slachtoffers dat het niet naleven van deze regels zal resulteren in openbare blootstelling van hun vertrouwelijke bestanden.
Slachtoffers krijgen een strikte deadline: 14 dagen om contact te leggen via het Tor-netwerk. Als er binnen deze periode geen communicatie plaatsvindt, voeren de aanvallers de druk op door een blogpost te publiceren waarin de datalek wordt aangekondigd. Deze post bevat een aftelling van drie dagen voordat de gestolen bestanden worden vrijgegeven, wat slachtoffers nog meer dwingt om het losgeld te betalen.
De risico's van het betalen van losgeld
Hoewel het betalen van losgeld de snelste manier lijkt om weer toegang te krijgen tot versleutelde bestanden, brengt het aanzienlijke risico's met zich mee. Cybercriminelen zijn niet verplicht om hun beloften na te komen en er is geen garantie dat ze een werkende decryptietool zullen leveren na ontvangst van de betaling. Bovendien moedigt het financieren van ransomware-operators hen aan om door te gaan met hun aanvallen, wat ertoe leidt dat meer slachtoffers ten prooi vallen aan soortgelijke plannen.
Het beste alternatief voor het betalen van losgeld is het onderhouden van veilige, up-to-date back-ups van belangrijke bestanden. Echter, zelfs met back-ups is het verwijderen van de ransomware van een getroffen systeem cruciaal. Als u dit niet doet, kan dit resulteren in voortdurende encryptie van nieuwe of herstelde bestanden, waardoor het back-upproces ineffectief wordt.
Hoe ransomware-bedreigingen zich verspreiden
Net als veel andere bedreigingen (bijvoorbeeld Cloak Ransomware of CmbLabs Ransomware ) vertrouwt SafePay Ransomware op meerdere distributietactieken om systemen te infiltreren. Cybercriminelen gebruiken vaak misleidende e-mails die vermomd zijn als legitieme correspondentie om ontvangers te misleiden tot het openen van schadelijke bijlagen of het klikken op gevaarlijke links. Deze phishing-e-mails kunnen zich voordoen als facturen, verzendbevestigingen of dringende berichten die onmiddellijke aandacht vereisen.
Een andere veelvoorkomende infectiemethode betreft softwarekwetsbaarheden. Verouderde besturingssystemen of applicaties bieden aanvallers een toegangspunt om ransomware te implementeren zonder dat er interactie van de gebruiker nodig is. Bovendien kunnen SafePay en soortgelijke bedreigingen worden ingebed in illegale software, sleutelgeneratoren en gekraakte programma's, waardoor systemen worden geïnfecteerd zodra ze worden uitgevoerd.
Preventieve maatregelen tegen ransomware
Om beschermd te blijven tegen ransomware is een proactieve benadering van cybersecurity vereist. Gebruikers moeten voorzichtig zijn bij het omgaan met e-mails van onbekende afzenders en ongevraagde bijlagen en links vermijden. Software alleen downloaden van officiële bronnen en alle applicaties up-to-date houden, helpt het risico op exploit-gebaseerde aanvallen te minimaliseren.
Bovendien vermindert het beoefenen van veilige surfgewoonten, zoals het vermijden van verdachte advertenties, pop-ups en misleidende websites, de kans om slachtoffer te worden van online oplichting. Regelmatig een back-up maken van belangrijke bestanden om offline opslag veilig te stellen, zorgt ervoor dat zelfs in het geval van een aanval, gegevensherstel mogelijk blijft zonder te voldoen aan losgeldeisen.
Laatste gedachten
SafePay Ransomware is een voorbeeld van een groeiende trend in cyberafpersing, waarbij aanvallers bestandsversleuteling combineren met gegevensdiefstal om slachtoffers onder druk te zetten om forse losgelden te betalen. Hoewel de losgeldeisen intimiderend kunnen zijn, is naleving riskant en garandeert het geen gegevensherstel. In plaats daarvan blijven preventieve maatregelen, zoals het bijhouden van back-ups, het toepassen van beveiligingsupdates en voorzichtigheid online, de beste verdediging tegen ransomware-bedreigingen.
