SafePay勒索软件:新面孔,老手法,企业如何防网络安全领域深耕几十年,每日分享当下最新网络安全事件,喜欢的朋友可以点点关注~
2024年10月,Huntress 分析师首次捕获到一个新的勒索软件样本,加密后缀为 .safepay,赎金说明名为 readme_safepay.txt。到2024年底,工信部网络安全威胁和漏洞信息共享平台(CSTIS)专门发布风险提示,将 SafePay 列为需要重点防范的新型勒索病毒。半年过去,SafePay 的攻击活动仍在持续。对于安全团队来说,这个"新"勒索软件值得认真对待——不是因为它有多创新,而是因为它把已知最有效的攻击手法组合在了一起。
攻击链拆解
SafePay 的攻击遵循经典的两阶段勒索模型,没有花哨的新技术,但执行非常干净。第一阶段:立足与数据外泄
攻击者通过 RDP 暴力破解或购买的凭证进入目标网络后,先做两件事:摸清环境,然后外泄数据。Huntress 观察到的案例中,攻击者使用 WinRAR 对多台主机的数据进行归档打包,然后通过 FileZilla 将打包好的数据外传到攻击者控制的服务器。每次用完工具就卸载,减少被发现的概率。这种手法在勒索攻击中很常见——先偷数据,再加密,双重勒索。但 SafePay 在执行上比较细致,归档和传输分开做,不是一次性打包全体数据,而是逐台主机处理。第二阶段:部署加密
立足稳定、数据到手之后,攻击者通过 RDP 会话,用 PowerShell 执行勒索脚本,重点打击网络共享目录(这是企业数据最集中的地方)。禁用影子副本,让受害者无法通过系统自带机制恢复
vssadmin delete shadows /all /quiet篡改启动配置,增加恢复难度
bcdedit /set {default} bootstatuspolicy ignoreallfailuresbcdedit /set {default} recoveryenabled no加密完成后,系统中所有文件被加上 .safepay 后缀,桌面出现 readme_safepay.txt,开头写着:“您好!您的企业网络已被 SafePay 团队攻击。”赎金说明里包含谈判联系方式和数据泄露威胁——标准双重勒索模板。
技术细节:它比"脚本小子"水平高在哪
SafePay 虽然用的都是已知手法,但在几个技术点上做得比较扎实:① UAC 绕过
利用 COM 对象技术绕过 Windows 用户账户控制(UAC),在不需要用户交互的情况下提升权限。这个手法在 LockBit 等成熟勒索家族中常见,但在新出现的勒索软件中出现,说明开发者的技术背景不浅。② 反检测
字符串混淆 + 多线程创建,让基于特征码的传统杀毒软件难以识别。混淆不是什么新技术,但 SafePay 的实现方式让它在 VirusTotal 上的初始检出率偏低。③ 地区规避
加密前检查系统语言设置,如果是东欧地区(独联体国家常用语言),则停止加密。这是勒索软件团伙的"潜规则"——避免感染本国或友好国家的机器,减少被本国执法部门盯上的风险。LockBit、Conti 都有类似逻辑。④ 与 LockBit 的潜在关联
Huntress 和多家安全厂商指出,SafePay 在代码逻辑、勒索说明格式、以及一些规避手法上,与 LockBit 存在相似性。目前没有确凿证据证明是同一个团队,但"师承关系"或"代码复用"的可能性很高。
为什么工信部专门发提示
2024年12月底,工信部 CSTIS 平台发布了关于 SafePay 的风险提示。这本身不常见——通常只有攻击面较大、影响范围较广的威胁才会上升到这个层级。第一,双重勒索的破坏力。 SafePay 不只是加密文件,还先外泄数据。对于医疗、制造、政务等行业,数据泄露的后果往往比系统停摆更严重——前者涉及合规和声誉,后者只是业务中断。第二,RDP 入口的普遍性。 SafePay 主要通过 RDP 暴力破解或凭证攻击进入,而开放 RDP 的企业在我国数量不少,尤其是制造业和中小型企业。一旦某个账号被攻破,整个内网就暴露了。
防御建议
SafePay 的攻击链没有特别"新"的地方,这意味着防御手段也是成熟的,关键是执行到位。① RDP 是第一道防线
开放 RDP 的服务器的比例,比很多人想象的要高。建议:非必要不开放 RDP 到公网,必须用 VPN 或零信任接入强制 NTLM 认证失败锁定 + 账户锁定阈值配置② 影子副本不是备份
SafePay 禁用影子副本只需要一行命令。影子副本是"便利功能",不是备份。真正的备份要离线、不可变、定期验证可恢复性。③ 网络共享是重灾区
SafePay 重点加密网络共享目录。对关键文件服务器,建议:考虑不可变存储(Immutable Storage)存放关键备份④ 监控 PowerShell 执行
SafePay 通过 PowerShell 部署加密模块。正常的运维 PowerShell 执行有固定模式,突然出现的大批量文件操作、禁用系统功能的命令,应该触发告警。⑤ 数据外泄要能看见
WinRAR 归档 + FileZilla 外传,这个过程会产生异常的网络流量。如果你们有 NDR 或流量分析工具,重点关注:内网主机向陌生外网 IP 建立大量 FTP 或 HTTPS 连接
这件事的底层逻辑
SafePay 的出现和活跃,再次验证了一个趋势:勒索软件的门槛在降低,但攻击成功率在上升。SafePay 的开发者不需要发明新漏洞、不需要新的绕过技术,只需要把现有的、经过验证的攻击手法组合好,就能打出有效的攻击。RDP 暴力破解成功率依然高,数据外泄依然难被及时发现,双重勒索依然能让企业压力山大。对企业来说,防御不需要追最新的"黑科技",把基础动作做扎实——关掉不必要的暴露面、做好权限管理、备份真的能恢复——就能挡住绝大多数类似 SafePay 的攻击。
网络安全领域深耕几十年,每日分享当下最新网络安全事件,喜欢的朋友可以点点关注~
夜雨聆风
