【安全资讯】SafePay勒索软件：一种具有复杂技术的新威胁

概要：

在网络安全领域，新的勒索软件威胁不断涌现。2024年10月，Huntress分析师发现了一种名为SafePay的勒索软件，其独特的加密文件扩展名为.safepay，且伴随有名为readme_safepay.txt的赎金说明。这种勒索软件的出现不仅显示了攻击者的高超技术，也揭示了其与老牌勒索软件家族LockBit的潜在联系。

主要内容：

SafePay勒索软件的攻击通常遵循两阶段模型：数据收集与外泄。在首次观察到的事件中，攻击者利用WinRAR对多个主机的数据进行归档，并通过FileZilla进行外泄。Huntress分析师指出，这一过程可能是网络数据的外泄，且攻击者在每次使用后卸载工具，以掩盖其踪迹。

在加密部署阶段，攻击者通过远程桌面协议（RDP）访问，利用PowerShell执行勒索脚本，针对网络共享进行攻击。他们使用命令禁用影子副本，并篡改启动配置，以阻碍恢复工作。其赎金说明以“您好！您的企业网络已被SafePay团队攻击”开头，包含了谈判归还被盗数据的指示。

SafePay展现出一系列先进的能力以最大化其影响力，包括通过COM对象技术绕过用户账户控制（UAC）和提升权限，以及采用字符串混淆和线程创建方法来规避传统检测技术。此外，SafePay在加密文件之前会检查系统语言，以避免感染东欧国家的机器，这在勒索软件团伙中是一种常见策略。尽管SafePay相对较新，但其复杂的战术和与LockBit的联系使其对各行业组织构成了重大威胁。