SafePay

SafePay Ransomware

SafePay Hacking Team

(шифровальщик-вымогатель) (первоисточник на русском)
Translation into English

Этот крипто-вымогатель шифрует данные бизнес-пользователей с помощью комбинации алгоритмов ChaCha20 + X25519, а затем требует написать на email, связаться через сайты в сети Tor и через децентрализованный мессенджер TON, чтобы узнать как заплатить выкуп и вернуть файлы. Оригинальное название: SafePay, указано в записке и на сайтах вымогателей. На файле написано: нет данных. Хакеры-распространители: SafePay Team. 
---
Обнаружения:
DrWeb -> ***
BitDefender -> Gen:Variant.Adware.Barys.696
ESET-NOD32 -> A Variant Of Generik.LIMCAPV
Kaspersky -> Trojan.Win32.Agent.xbutvh
Malwarebytes -> Malware.AI.3907704461
Microsoft -> Trojan:Win32/Malgent!MSR
Rising -> Trojan.Undefined!8.1327C (CLOUD)
Tencent -> Malware.Win32.Gencirc.14253ea6
TrendMicro -> TROJ_GEN.R002H01AG25
---

© Генеалогия: ✂ из разного кода >> SafePay

Сайт "ID Ransomware" идентифицирует это как SafePay с 7 ноября 2024.  

Информация для идентификации

Активность этого крипто-вымогателя была замечена в октябре - ноябре 2024 г. Ориентирован на англоязычных пользователей. Нацелен на средний и крупный бизнес. Может распространяться по всему миру. Подтвержденные инциденты зафиксированы в Великобритании, США, Австралии, Италии, Новой Зеландии, Канаде, Аргентине, Бельгии, Барбадосе, Бразилии и Германии. В ноябре на сайтах вымогателей в списке было 22 жертвы. 

К зашифрованным файлам добавляется расширение: .safepay

Записка с требованием выкупа называется: readme_safepay.txt

Содержание записки о выкупе:

Greetings! Your corporate network was attacked by SafePay team.

Your IT specialists made a number of mistakes in setting up the security of your corporate network, so we were able to spend quite a long period of time in it and compromise you.

It was the misconfiguration of your network that allowed our experts to attack you, so treat this situation as simply as a paid training session for your system administrators.

ve spent the time analyzing your data, including all the sensitive and confidential information. As a result, all files of importance have been encrypted and the ones of most interest to us have been stolen and are now stored on a secure server for further exploitation and publication on the Web with an open access.

Now we are in possession of your files such as: financial statements, intellectual property, accounting records, lawsuits and complaints, personnel and customer files, as well as files containing information on bank details, transactions and other internal documentation.

Furthermore we successfully blocked most of the servers that are of vital importance to you, however upon reaching an agreement, we will unlock them as soon as possible and your employees will be able to resume their daily duties.

We are suggesting a mutually beneficial solution to that issue. You submit a payment to us and we keep the fact that your network has been compromised a secret, delete all your data and provide you with the key to decrypt all your data.

In the event of an agreement, our reputation is a guarantee that all conditions will be fulfilled. No one will ever negotiate with us later on if we don't fulfill our part and we recognise that clearly! We are not a politically motivated group and want nothing more than money. Provided you pay, we will honour all the terms we agreed to during the negotiation process.

In order to contact us, please use emails below:

1. ***@protonmail.com

2. ***@protonmail.com

Our blog: 

http://***.onion

Download and install Tor Browser https://www.torproject.org/

Contact and wait for a reply, we guarantee that we will reply as soon as possible, and we will explain everything to you once again in more detail.

Our TON blog:

tonsite://safepay.ton

You can connect through your Telegramm account. 

Перевод записки на русский язык:

Приветствую! Ваша корпоративная сеть подверглась атаке со стороны команды SafePay.

Ваши ИТ-специалисты допустили ряд ошибок при настройке безопасности вашей корпоративной сети, поэтому мы смогли провести в ней довольно много времени и скомпрометировать вас.

Именно неправильная настройка вашей сети позволила нашим экспертам атаковать вас, поэтому относитесь к этой ситуации как к платному тренингу для ваших системных администраторов.

Мы потратили время на анализ ваших данных, включая всю конфиденциальную и конфиденциальную информацию. В результате все важные файлы были зашифрованы, а наиболее интересные для нас были украдены и теперь хранятся на защищенном сервере для дальнейшего использования и публикации в Интернете с открытым доступом.

Теперь у нас есть ваши файлы, такие как: финансовая отчетность, интеллектуальная собственность, бухгалтерские записи, иски и жалобы, файлы персонала и клиентов, а также файлы, содержащие информацию о банковских реквизитах, транзакциях и другой внутренней документации.

Кроме того, мы успешно заблокировали большинство серверов, которые имеют для вас жизненно важное значение, однако после достижения соглашения мы разблокируем их как можно скорее, и ваши сотрудники смогут возобновить свои ежедневные обязанности.

Мы предлагаем взаимовыгодное решение этой проблемы. Вы отправляете нам платеж, и мы сохраняем в тайне факт взлома вашей сети, удаляем все ваши данные и предоставляем вам ключ для расшифровки всех ваших данных.

В случае соглашения наша репутация является гарантией того, что все условия будут выполнены. Никто никогда не будет вести с нами переговоры позже, если мы не выполним свою часть, и мы это четко осознаем! Мы не являемся политически мотивированной группой и не хотим ничего, кроме денег. Если вы заплатите, мы выполним все условия, о которых договорились в процессе переговоров.

Чтобы связаться с нами, используйте адреса электронной почты ниже:

1. ***@protonmail.com

2. ***@protonmail.com

Наш блог:

http://***.onion

Скачайте и установите Tor Browser https://www.torproject.org/

Свяжитесь с нами и ждите ответа, мы гарантируем, что ответим как можно скорее и еще раз все вам объясним более подробно.

Наш блог TON:

tonsite://safepay.ton

Вы можете подключиться через свой аккаунт Telegramm.

✋ Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1. 

➤ Удаляет теневые копии файлов, бэкапы системы, отключает функции восстановления и исправления Windows на этапе загрузки.

➤ С списке используемых для похищения данных и вымогательства приложения: PowerShell, FileZilla, WinRAR.

➤ Повышение привилегий

Для повышения привилегий SafePay использует технику UAC Bypass Privilege Escalation, тактику, ранее связанную с LockBit и ALPHV/BlackCat. Она включает эксплуатацию процесса DllHost.exe и злоупотребление функциональностью COM-объекта (в частности, CMSTPLUA) для выполнения вредоносных команд с повышенными привилегиями.

➤ Начало атаки

Атака начинается с эксплуатации открытых конечных точек RDP, используя плохо защищенные или неправильно настроенные параметры RDP, что позволяет злоумышленникам получить несанкционированный доступ к корпоративной среде. Затем используется Living Off the Land Binaries (LOLBins), такие как SystemSettingsAdminFlows.exe, чтобы отключить основные функции безопасности Windows Defender. Затем, выполняя ряд команд отключает защиту в реальном времени, отправку образцов и другие защитные механизмы, эффективно нейтрализуя встроенную защиту.

➤ Использование возможностей PowerShell

После успешного отключения средств безопасности SafePay развертывает вредоносный скрипт ShareFinder.ps1 для сканирования сети в поисках  доступных общих ресурсов, выявления конфиденциальных данных и составления карты потенциальных путей бокового перемещения. Это помогает идентифицировать высокоценные цели и подготовиться к эксфильтрации или шифрованию данных. Помимо ShareFinder.ps1, могут использоваться и другие скрипты, инструменты или тактики, чтобы углубить позиции злоумышленников и сохранить устойчивость в скомпрометированной сети.

➤ Процесс выполнения и прекращение обслуживания

SafePay нацеливается на критические процессы и службы. Используя функцию ZwTerminateProcess, завершает процессы, необходимые для баз данных, резервного копирования и приложений производительности. Основные цели: службы баз данных (sql, oracle, dbsnmp), инструменты резервного копирования (encsvc, xfssvccon) и приложения (word, excel, onenote, outlook).

SafePay останавливает критические службы, используя функцию ControlService. Фокусируется на отключении системных и резервных служб, (vss, sqlsvc),антивирусных решений (Sophos и пр.). Эта двухуровневая стратегия гарантирует нейтрализацию защитных механизмов, что значительно усложняет усилия по восстановлению и защите. 

➤ Эксфильтрация данных

В рамках своей работы SafePay включает фазу эксфильтрации данных для расширения возможностей вымогательства. Сначала злоумышленники архивируют конфиденциальные файлы с помощью WinRAR.exe, применяя определенные параметры для оптимизации процесса путем исключения некритических типов файлов, таких как .jpeg, .mov и .exe. Этот избирательный подход гарантирует, что фокус остается на ценных данных.

После фазы архивации злоумышленники переносят собранные данные на удаленные серверы с помощью FileZilla. Затем FileZilla удаляется. 

➤ Проверка локализации

SafePay проверяет, не запущен ли он в одной из стран Восточной Европы. Для этого вызывается GetSystemDefaultUILanguage и проверяется, что полученный идентификатор языка больше идентификаторов кириллического языка. 

➤ Шифрование

После завершения эксфильтрации SafePay шифрует файлы, добавляя расширение .safepay. Это делает критически важные файлы недоступными, оказывает давление на жертву, чтобы она выполнила требования выкупа. Для информирования в каталогах с зашифрованными файлами оставляется записка о выкупе readme_safepay.txt с инструкциями по уплате выкупа и  связи с вымогателями через Tor-сайты (.onion) и мессенджер TON, что обеспечивает анонимность контакта.

Список останавливаемых процессов: 

sql

oracle

ocssd

dbsnmp

synctime

agntsvc

isqlplussvc

xfssvccon

mydesktopservice

ocautoupds

encsvc

firefox

tbirdconfig

mydesktopqos

ocomm

dbeng50

sqbcoreservice

excel

infopath

msaccess

mspub

far

onenote

outlook

powerpnt

steam

thebat

thunderbird

visio

winword

wordpad

notepad

wuauclt

onedrive

sqlmangr

Список останаливаемых служб: 

vss

sqlsvc

memtas

mepocs

msexchange

Sophos

Veeam

backup

GxVss

GxBlr

GxFWD

GxCVD

GxCIMgr

Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, некоторые типы изображений, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
readme_safepay.txt - название файла с требованием выкупа;

ShareFinder.ps1 - PowerShell-скрипт; 
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Мьютексы:
См. ниже результаты анализов.

Сетевые подключения и связи:
Tor-URL: 

xxxx://iieavvi4wtiuijas3zw4w54a5n2srnccm2fcb3jcrvbb7ap5tfphw6ad.onion

xxxx://qkzxzeabulbbaevqkoy2ew4nukakbi4etnnkcyo3avhwu7ih7cql4gyd.onion

TON: xxxsite://safepay.ton

Email: ***@protonmail.com, ***@protonmail.com
BTC: -

C2C: 45.91.201.247

77.37.49.40

80.78.28.63

См. ниже в обновлениях другие адреса и контакты. 

Результаты анализов: 

IOC: VT, HA, IA, TG, AR

MD5: d1f621b82822b544153f6b531e51a611 

SHA-1: 4278801d47b15c1e9ef94c28c599c3156fd65812 

SHA-256: a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526 

Vhash: 1150566d151d156bzenz7ez2 

Imphash: 37fbdf024566a44c7d1a9acd4db9607d

Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.

---

=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===

---

=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Обновлений не было или не добавлены.

---

=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===

 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 Huntress, Red Piranha, quietman7
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples


 

© Amigo-A (Andrew Ivanov): All blog articles. Contact.