SafePay Ransomware: cyfrowy schemat wymuszeń, w którym pliki są zakładnikami
Table of Contents
Mechanika oprogramowania SafePay Ransomware
SafePay Ransomware to rodzaj cyfrowego narzędzia wymuszającego okup, zaprojektowanego w celu szyfrowania plików ofiar, czyniąc je niedostępnymi do czasu zapłacenia okupu. Podobnie jak inne zagrożenia ransomware, atakuje firmy i osoby prywatne, blokując kluczowe dane i żądając zapłaty w zamian za ich przywrócenie. Ten konkretny szczep pozostawia wyraźny ślad na naruszonych plikach, dodając „.safepay” do ich nazw. Na przykład plik pierwotnie nazwany „document.pdf” zostałby przemianowany na „document.pdf.safepay”, sygnalizując jego szyfrowanie.
Oprócz szyfrowania plików SafePay generuje notatkę o okupie zatytułowaną „readme_safepay.txt”, która zawiera instrukcje dla ofiar dotyczące sposobu komunikowania się z atakującymi. Notatka stwierdza, że atak był możliwy z powodu „błędnych konfiguracji zabezpieczeń” w sieci ofiary. Cyberprzestępcy twierdzą, że ukradli poufne dane i grożą ich ujawnieniem, jeśli ich żądania nie zostaną spełnione.
Oto treść listu z żądaniem okupu:
Greetings! Your corporate network was attacked by SafePay team.
Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.
It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.
We’ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.
Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.
Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.
We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.
In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.
In order to contact us, please use chat below, you have 14 days to contact us, after this time a blog post will be made with a timer for 3 days before the data is published and you will no longer be able to contact us.
To contact us follow the instructions:
1) Install and run “Tor Browser” from hxxps://www.torproject.org/download/
2) Go to -
Reserve Link: -
3) Log in with ID: -
Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.---
Our blog:
-
-
Our TON blog:
tonsite://safepay.ton
You can connect through your Telegramm account.
Żądania okupu i taktyki wymuszeń
W przeciwieństwie do niektórych zagrożeń ransomware, które koncentrują się wyłącznie na szyfrowaniu plików, SafePay stosuje bardziej agresywne podejście, włączając eksfiltrację danych do swojej strategii ataku. Atakujący twierdzą, że wydobyli zapisy finansowe, własność intelektualną, informacje o pracownikach i klientach, dane bankowe i dokumenty prawne. Wykorzystują te skradzione dane jako dźwignię, ostrzegając ofiary, że nieprzestrzeganie zasad spowoduje publiczne ujawnienie ich poufnych plików.
Ofiarom wyznaczono ścisły termin — 14 dni na nawiązanie kontaktu za pośrednictwem sieci Tor. Jeśli w tym czasie nie zostanie nawiązana żadna komunikacja, atakujący zwiększają presję, publikując wpis na blogu informujący o naruszeniu danych. Wpis ten obejmuje trzydniowe odliczanie przed udostępnieniem skradzionych plików, co dodatkowo zmusza ofiary do zapłacenia okupu.
Ryzyko związane z płaceniem okupu
Chociaż zapłacenie okupu może wydawać się najszybszym sposobem odzyskania dostępu do zaszyfrowanych plików, wiąże się ze znacznym ryzykiem. Cyberprzestępcy nie mają obowiązku dotrzymywania obietnic i nie ma gwarancji, że po otrzymaniu zapłaty udostępnią działające narzędzie do odszyfrowywania. Ponadto finansowanie operatorów ransomware zachęca ich do kontynuowania ataków, co sprawia, że więcej ofiar pada ofiarą podobnych schematów.
Najlepszą alternatywą dla płacenia okupu jest utrzymywanie bezpiecznych, aktualnych kopii zapasowych ważnych plików. Jednak nawet przy kopiach zapasowych usunięcie ransomware z zainfekowanego systemu jest kluczowe. Niewykonanie tego może skutkować dalszym szyfrowaniem nowych lub przywróconych plików, co sprawi, że proces tworzenia kopii zapasowej stanie się nieskuteczny.
Jak rozprzestrzeniają się zagrożenia typu ransomware
Podobnie jak wiele innych zagrożeń (np. Cloak Ransomware lub CmbLabs Ransomware ), SafePay Ransomware polega na wielu taktykach dystrybucji w celu infiltracji systemów. Cyberprzestępcy często stosują oszukańcze wiadomości e-mail zamaskowane jako legalna korespondencja, aby nakłonić odbiorców do otwarcia złośliwych załączników lub kliknięcia niebezpiecznych linków. Te wiadomości e-mail phishingowe mogą podszywać się pod faktury, potwierdzenia wysyłki lub pilne wiadomości wymagające natychmiastowej uwagi.
Inną powszechną metodą infekcji są luki w zabezpieczeniach oprogramowania. Przestarzałe systemy operacyjne lub aplikacje stanowią punkt wejścia dla atakujących, którzy mogą wdrażać ransomware bez konieczności interakcji użytkownika. Ponadto SafePay i podobne zagrożenia mogą być osadzone w pirackim oprogramowaniu, generatorach kluczy i zhakowanych programach, infekując systemy natychmiast po ich uruchomieniu.
Środki zapobiegawcze przeciwko oprogramowaniu ransomware
Aby zachować ochronę przed ransomware, należy proaktywnie podejść do cyberbezpieczeństwa. Użytkownicy powinni zachować ostrożność podczas interakcji z wiadomościami e-mail od nieznanych nadawców, unikając niechcianych załączników i linków. Pobieranie oprogramowania wyłącznie z oficjalnych źródeł i aktualizowanie wszystkich aplikacji pomaga zminimalizować ryzyko ataków opartych na wykorzystaniu luk.
Ponadto, praktykowanie bezpiecznych nawyków przeglądania — takich jak unikanie podejrzanych reklam, wyskakujących okienek i oszukańczych witryn — zmniejsza szanse stania się ofiarą oszustw internetowych. Regularne tworzenie kopii zapasowych ważnych plików w celu bezpiecznego przechowywania offline zapewnia, że nawet w przypadku ataku odzyskanie danych pozostaje możliwe bez konieczności spełnienia żądań okupu.
Ostatnie przemyślenia
SafePay Ransomware to przykład rosnącego trendu w cyberwymuszeniach, w których atakujący łączą szyfrowanie plików z kradzieżą danych, aby zmusić ofiary do zapłacenia wysokich okupów. Chociaż żądania okupu mogą być zastraszające, przestrzeganie ich jest ryzykowne i nie gwarantuje odzyskania danych. Zamiast tego podejmowanie środków zapobiegawczych — takich jak tworzenie kopii zapasowych, stosowanie aktualizacji zabezpieczeń i zachowanie ostrożności online — pozostaje najlepszą obroną przed zagrożeniami ransomware.
