SafePay

Überblick

SafePay ist eine vergleichsweise junge, aber schnell wachsende Ransomware-Operation, die sich ausdrücklich vom Modell „Ransomware-as-a-Service“ distanziert. Statt mit externen Partnern zu arbeiten, steuert die Gruppe sämtliche Abläufe intern und behält die Kontrolle über den gesamten Angriffsablauf in eigener Hand. In kurzer Zeit hat sie sich zahlreiche Opfer in verschiedenen Weltregionen zugeschrieben und damit rasch an Bedeutung gewonnen. Zu den frühen, öffentlichkeitswirksamen Vorfällen zählt ein Angriff auf ein Unternehmen aus dem Bereich der Telematik, bei dem große Mengen an Daten entwendet wurden. Charakteristisch für SafePay ist die Kombination aus Datendiebstahl und Verschlüsselung: Betroffene werden sowohl mit dem Verlust des Zugriffs auf ihre Systeme als auch mit der Veröffentlichung gestohlener Informationen unter Druck gesetzt. Die Gruppe richtet sich gegen Einrichtungen unterschiedlicher Branchen und tritt als geschlossen agierender Akteur auf, der seine Werkzeuge und seine Infrastruktur selbst entwickelt und betreibt.

Taktiken & Vorgehen

Den Erstzugang verschafft sich SafePay häufig über das Remote Desktop Protocol (RDP) mit gültigen Zugangsdaten, daneben über Phishing in mehreren Spielarten sowie über öffentlich erreichbare Anwendungen. Zur Ausführung und internen Erkundung kommen PowerShell-Skripte wie ShareFinder.ps1 beziehungsweise Invoke-ShareFinder und WMI-Befehle zum Einsatz, etwa zur Domänen- und Netzwerkaufklärung mit Werkzeugen wie nltest.exe. Zugangsdaten werden mit Hilfsmitteln wie lsassy.py aus dem Betriebssystem extrahiert. Zur Tarnung deaktiviert die Gruppe den Windows Defender über LOLBin-Befehle und nutzt System-Binärdateien wie Regsvr32.exe sowie CMSTPLUA und dllhost.exe. Für die seitliche Bewegung dienen RDP und WMI. Gesammelte Daten werden mit 7-Zip und WinRAR archiviert und über Web-Dienste wie MEGASync abgeflossen. Abschließend werden Dateien verschlüsselt und mit der Endung „.safepay“ versehen, begleitet von der Erpressernachricht „readme_safepay.txt“; Schattenkopien werden zur Behinderung der Wiederherstellung gelöscht.

Schutzmaßnahmen

Fernzugänge über RDP sollten über VPN und Mehr-Faktor-Authentisierung abgesichert sowie auf die Verwendung gültiger, aber kompromittierter Konten überwacht werden. Eingehende Nachrichten sollten zur Abwehr von Phishing gefiltert und öffentlich erreichbare Anwendungen zeitnah gehärtet werden. Die Ausführung von PowerShell und WMI sollte protokolliert und auf Skripte wie ShareFinder.ps1 hin überwacht werden. Manipulationsversuche an Sicherheitswerkzeugen wie dem Windows Defender sowie der missbräuchliche Aufruf von System-Binärdateien wie Regsvr32.exe sollten erkannt werden. Der Zugriff auf Anmeldeinformationen im Betriebssystem sollte eingeschränkt und überwacht werden. Ein ungewöhnlicher Einsatz von Archivierungswerkzeugen wie 7-Zip und WinRAR sowie Datenabfluss zu Cloud-Diensten wie MEGASync sollten unterbunden werden. Das Löschen von Schattenkopien sollte unterbunden und alarmiert werden.