SafePay 勒索軟體:2025 年的新興威脅
SafePay 是 2025 年全新且精密的勒索軟體集團。 雖然在 2024 年 9 月才被發現,但 SafePay 勒索軟體很快就擄獲了許多受害者,成為 2025 年第一季前十大活躍群體。
SafePay 顯示先進的網路滲透和資料加密/過濾功能,是 2025 年的重大威脅。
雖然對於該組織本身所知甚少,但業界專家已分析過往的攻擊,找出 SafePay 的 勒索軟體 策略。 瞭解他們的方法有助於偵測 勒索軟體 攻擊,並實施保護措施以確保您的安全。
勒索軟體在 2025 年:破紀錄的激增
SafePay 的出現,正值勒索軟體攻擊破紀錄的時刻。
2025 年第一季全球網路路徑攻擊報告的資料顯示,與前一年相比,勒索軟體攻擊增加了 126% 。 儘管前一年有兩家主要廠商倒閉,2025 年仍出現勒索軟體激增的情況:LockBit 和 ALPHV。
2024 年的協調國際法行動導致:
- 查封 LockBit 資料洩漏網站
- 公開集團內部資料(包括解密金鑰)
- 其聯盟網路的曝光率
LockBit 的營運和基礎設施被拆除後,該集團的活動大幅減少。
內部溝通的進一步揭露導致了業界公信力的喪失,也讓勒索軟體-as-a-service(RaaS)集團如曇花一現。 2023 年底,一次執法行動擾亂了 ALPHV 的運作。經過短暫的恢復後,該團體於 2024 年初關閉營運。
在 Change Healthcare 遭到攻擊後,ALPHV:
- 扣留所有 2200 萬美元的贖金
- 拒絕與發動攻擊的聯盟分享
- 在其資料洩漏網站偽造扣押通知
- 宣布 ALPHV 結束
這兩個團體的關閉導致了 勒索軟體生態系統的分裂。
既有的營運商 (例如RansomHub、Akira) 和新玩家 (例如 SafePay) 現在正爭相填補缺口,並吸引之前與 LockBit 和 ALPHV 合作的新聯盟。
誰是 SafePay 勒索軟體集團?
SafePay 是一個新的勒索軟體集團,其首次確認的活動發生在 2024 年 9 月。 自此之後,SafePay 威脅者迅速成為該領域的重要玩家。
Check Point 的網路安全狀況報告資料發現,在 2024 年 11 月的報告受害者中,SafePay 佔了 5% 。這種活動在 2025 年持續成長, 2025 年第一季 報告 中的 勒索軟體狀態 發現 77 個公開聲稱的受害者,使得 SafePay 成為第 9 個最普遍的 勒索軟體變種。
高調的早期攻擊
SafePay 勒索軟體早期的高知名度攻擊事件是英國 Telematics 公司Microlise 遭到的攻擊,該攻擊事件使該組織受到更多的關注。
- 2024 年 10 月,該企業首次披露自己是網路事件的受害者。
- 2024 年 11 月,攻擊的細節曝光,SafePay 宣稱竊取了 1.2 TB 的資料,要求在 24 小時內付款。
難以殲滅的網路犯罪集團
儘管 2025 年 SafePay 勒索軟體激增,但對於該集團的瞭解卻不多:
- 暗網論壇或聊天室中的討論很少
- 未公開揭露該團體成員或地點的相關資訊
但是,SafePay 可以:
- 維護暗網部落格
- 利用開放網路 (TON)與受害者溝通
- 經營一個 Tor 洩密網站,列出聲稱的過去受害者
代碼相似性與戰術
對 SafePay 勒索軟體攻擊的調查顯示,該組織的勒索軟體二進位與 2022 年末的 LockBit 版本有相似之處。 不過,SafePay 也整合了其他 勒索軟體團體所使用的元素,包括 ALPHV 和INC Ransom。
截至 2025 年,著名的 SafePay 策略包括
- 快速加密時間
- 攻擊通常會在 24 小時內從入侵轉移至部署
SafePay 勒索軟體 2025 年的攻擊仍在調查中,以全面評估該組織的整體能力。
SafePay 受害人
SafePay 以各行各業的受害者為目標,包括公共和私營部門。
他們在 2025 年的軟體勒索激增集中在美國、英國和德國的目標。 在美國和德國都有 SafePay 發起一波波攻擊的例子,有時一天超過 10 次。來自State of 勒索軟體 2025 年第一季報告的統計資料顯示,德國的活動量相當高。
- 2025 年第 1 季德國所有報告的勒索軟體受害者中,有 24% 與 SafePay 相關聯
- 根據Check Point 的研究,這是任何國家單一勒索軟體群組的最高百分比
這表明 SafePay 的目標是在 2025 年間在德國建立主要據點。
SafePay 的策略和目標策略
SafePay 使用有效的憑證獲得初始存取權,這些憑證很可能是在暗網市場上購買的。
他們透過這些憑證和閘道器存取目標端點。 VPN閘道器。 預計該組織也會利用已知的VPN 脆弱性發動攻擊。
SafePay 勒索軟體的策略分析顯示,該組織利用多階段方法,通常從透過遠端桌面通訊協定存取開始。 SafePay 威脅者會使用離地二進位檔案 (LOLBins) 來停用 Windows Defender 等安全措施。
SafePay 軟體擁有精密的模組化設計,包括以下功能:
- 權限升級
- UAC 旁路
- 網路傳播
WinRaR 和 FileZilla 等其他工具可將資料存檔並將其外流。
加密的檔案會加上 .SafePay 副檔名。
在之前的 SafePay 勒索軟體攻擊中,贖金說明在一個名為 readme_SafePay.txt 的檔案中。 為了提高攻擊的成功率,SafePay 的 勒索軟體 策略包括:
- 停用復原選項
- 刪除影子複本。
一旦部署了 勒索軟體,SafePay 會透過雙重勒索迫使受害者付款。
- 他們會加密受害者的資料,中斷業務運作
- 他們竊取這些資料,威脅如果不支付贖金,就會在洩密網站上公開釋放這些資料。
與 LockBit勒索軟體變種顯著相似之處在於 SafePay 能夠根據洩露的原始碼,策略性地鎖定目標並進行調整。 舉例來說,之前在東歐發生的攻擊事件就曾被發現加入了西里爾語的殺人開關。這種複雜程度顯示了進階安全控制和端點監控的必要性。
防禦 SafePay 勒索軟體攻擊和類似威脅
有一些特定於 SafePay 勒索軟體戰術的指標,可以幫助您識別攻擊並制定新的安全規則。 這些包括
- 偵測 SafePay 用於權限升級的 UAC 繞路,以擴散其攻擊,並在初始存取後入侵更多的系統。
- SafePay 經常手動變更病毒與威脅防護功能 大多數使用者不會碰觸的設定。這表示您可以透過監控 Windows Defender 設定的任何操作來識別 SafePay 勒索軟體攻擊。
- 該組織的 勒索軟體 攻擊利用 WinRAR 在資料外洩前先將資料存檔。 這些指令在一般使用 WinRAR 時也不常見,因此提供了潛在的偵測機制。
如何防止 SafePay 勒索軟體:5 個最佳實務
更多一般軟體 勒索安全控制和最佳實務,將有助於您的組織預防 SafePay 勒索軟體攻擊和類似威脅包括:
Enhanced 勒索軟體 Protection withCheck Point
為了保護您的企業免受 SafePay 勒索軟體和其他新興威脅的威脅,您需要一個可以信賴的 勒索軟體 保護解決方案。 Check Point Endpoint Security 從Check Point提供完整的端點資安來偵測 勒索軟體攻擊,並將其影響降至最低。
