SafePay ransomware đã trở thành một trong những tác nhân đe dọa tích cực và phá hoại nhất trong Quý 1 năm 2025, đánh dấu một diễn biến đáng lo ngại trong bức tranh an ninh mạng. Đơn vị Nghiên cứu Mối đe dọa của Acronis (TRU) ghi nhận SafePay đã tấn công tích cực hơn 200 nạn nhân trên toàn thế giới, bao gồm các nhà cung cấp dịch vụ được quản lý (MSPs) và các doanh nghiệp vừa và nhỏ (SMBs) thuộc nhiều ngành nghề khác nhau.
Tổng quan về SafePay Ransomware
Sự trỗi dậy và mô hình hoạt động
Không giống như nhiều nhóm ransomware hoạt động theo mô hình ransomware-as-a-service (RaaS) với các chi nhánh, SafePay duy trì sự kiểm soát tập trung hoàn toàn đối với các hoạt động, cơ sở hạ tầng và quá trình đàm phán tiền chuộc của mình. Cách tiếp cận chiến lược này, kết hợp với việc tái sử dụng các chiến thuật cũ nhưng vẫn cực kỳ hiệu quả, đã cho phép nhóm thực hiện các cuộc tấn công tàn khốc. Một ví dụ điển hình là vụ gián đoạn gần đây nhắm vào Ingram Micro, một nhà phân phối toàn cầu phục vụ hàng ngàn đối tác và MSPs.
SafePay lần đầu tiên được xác định vào năm 2024, gây thiệt hại cho hơn 20 nạn nhân trong năm ra mắt. Sự vươn lên nhanh chóng và các phương pháp tinh vi của SafePay cho thấy một thách thức ngày càng lớn đối với các tổ chức đang nỗ lực bảo vệ mạng lưới của họ khỏi những mối đe dọa hiểm độc như vậy.
Mục tiêu và phạm vi ảnh hưởng
SafePay đặc biệt nhắm mục tiêu vào các tổ chức có khả năng chi trả tiền chuộc cao và có sự phụ thuộc vào dữ liệu. Việc tập trung vào MSPs cho phép SafePay tiếp cận một chuỗi cung ứng rộng lớn gồm các khách hàng cuối, tối đa hóa tiềm năng lây lan và lợi nhuận. Phạm vi ảnh hưởng đa dạng của chúng bao gồm nhiều lĩnh vực kinh doanh, từ sản xuất, dịch vụ tài chính đến chăm sóc sức khỏe, cho thấy khả năng thích ứng và mở rộng quy mô hoạt động của nhóm.
Phân tích kỹ thuật SafePay Ransomware
Mối liên hệ với LockBit 3.0
SafePay có những điểm tương đồng đáng kinh ngạc với họ ransomware LockBit khét tiếng, đặc biệt là LockBit 3.0 (còn gọi là LockBit Black), vốn có mã nguồn bị rò rỉ vào năm 2022. Phân tích của TRU cho thấy các mẫu SafePay, được xác định là file DLL PE32 với dấu thời gian biên dịch giả mạo, chia sẻ nhiều đặc điểm với LockBit. Những đặc điểm này bao gồm:
* **Chuỗi mã hóa (Encoded Strings):** Sử dụng các chuỗi được mã hóa để che giấu các thông tin quan trọng như API, thư mục đích, hoặc thông báo tống tiền, làm phức tạp quá trình phân tích tĩnh.
* **Giải quyết địa chỉ WinAPI động (Dynamic Resolution of WinAPI Addresses):** SafePay không trực tiếp gọi các hàm WinAPI mà giải quyết địa chỉ của chúng trong thời gian chạy. Điều này giúp tránh bị phát hiện bởi các công cụ phân tích dựa trên chuỗi hoặc chữ ký tĩnh.
* **Sử dụng các hàm “Dummy” (Dummy Functions):** Các hàm không có mục đích thực tế, chỉ chứa các chuỗi lệnh gọi API tuần tự. Kỹ thuật này được sử dụng để làm rối loạn luồng chương trình và làm phức tạp quá trình phân tích của các nhà nghiên cứu bảo mật.
Các kỹ thuật lẩn tránh và leo thang đặc quyền
SafePay tích hợp nhiều kỹ thuật để lẩn tránh các cơ chế phòng thủ và nâng cao đặc quyền trên hệ thống mục tiêu:
* **Yêu cầu mật khẩu để thực thi đầy đủ:** Một số phiên bản của SafePay yêu cầu mật khẩu để khởi động và thực thi đầy đủ các chức năng mã hóa. Điều này có thể được sử dụng để kiểm soát việc triển khai, hoặc là một lớp bảo vệ chống lại việc phân tích trái phép.
* **Lạm dụng giao diện COM CMSTPLUA để leo thang đặc quyền:** SafePay khai thác giao diện COM CMSTPLUA (Consent Management for Administrative Applications) để vượt qua Kiểm soát Tài khoản Người dùng (UAC) trên các phiên bản Windows. Bằng cách thao túng các tiến trình đáng tin cậy, ransomware có thể thực thi mã độc với đặc quyền cao hơn mà không hiển thị lời nhắc UAC cho người dùng.
* **Thiết lập cờ ‘ThreadHideFromDebugger’:** Ransomware này đặt cờ ‘ThreadHideFromDebugger’ trên các luồng của nó. Khi cờ này được bật, các luồng sẽ không bị theo dõi bởi các debugger thông thường, gây khó khăn cho việc phân tích động và gỡ lỗi mã độc.
* **Nhắm mục tiêu ngôn ngữ hệ thống để lẩn tránh:** SafePay có khả năng kiểm tra ngôn ngữ được cấu hình trên hệ thống mục tiêu. Nếu ngôn ngữ đó thuộc danh sách loại trừ (thường là các ngôn ngữ của các quốc gia thuộc Cộng đồng các Quốc gia Độc lập – CIS), ransomware sẽ ngừng hoạt động. Đây là một chiến thuật phổ biến để tránh bị truy tố từ các cơ quan thực thi pháp luật.
* **Chấm dứt các tiến trình và dịch vụ quan trọng:** Để vô hiệu hóa các biện pháp phòng thủ và đảm bảo quyền truy cập độc quyền vào các tệp tin, SafePay chấm dứt các tiến trình và dịch vụ quan trọng như SQL, Veeam (giải pháp sao lưu), và Sophos (giải pháp bảo mật). Việc này giúp ransomware mã hóa dữ liệu mà không bị các ứng dụng này khóa hoặc bảo vệ.
Phương thức xâm nhập và thu thập dữ liệu
SafePay thường xâm nhập vào mạng lưới thông qua các kết nối RDP (Remote Desktop Protocol) và VPN bị lộ hoặc bị chiếm đoạt. Sau khi có được quyền truy cập, kẻ tấn công tận dụng thông tin xác thực bị đánh cắp để thực hiện các bước sau xâm nhập:
* **Vô hiệu hóa Endpoint Protection và xóa dấu vết:** SafePay tìm cách vô hiệu hóa các giải pháp bảo vệ điểm cuối như Windows Defender. Đồng thời, nó xóa các bản sao lưu bóng (shadow copies) và xóa nhật ký hệ thống để che giấu dấu vết hoạt động và cản trở quá trình phục hồi dữ liệu của nạn nhân.
* **Công cụ thu thập và trích xuất dữ liệu:** Để xác định và thu thập dữ liệu nhạy cảm, kẻ tấn công sử dụng các công cụ phổ biến:
* **ShareFinder.ps1:** Một script PowerShell mã nguồn mở được dùng để liệt kê và xác định các thư mục chia sẻ mạng trong môi trường nạn nhân.
* **WinRAR:** Được sử dụng để nén và đóng gói dữ liệu nhạy cảm đã thu thập được, chuẩn bị cho quá trình trích xuất.
* **FileZilla:** Một ứng dụng FTP client hợp pháp được SafePay sử dụng để trích xuất dữ liệu đã nén ra khỏi mạng của nạn nhân trước khi tiến hành mã hóa.
Cơ chế mã hóa và tống tiền kép
Sau khi trích xuất dữ liệu, SafePay tiến hành mã hóa các tệp tin trên hệ thống.
* **Mã hóa dữ liệu:** Quá trình mã hóa sử dụng sự kết hợp mạnh mẽ giữa thuật toán **AES** (Advanced Encryption Standard) để mã hóa dữ liệu nhanh chóng và thuật toán **RSA** để mã hóa khóa AES, đảm bảo rằng chỉ có kẻ tấn công mới có thể giải mã. Các tệp bị mã hóa được đổi tên với phần mở rộng ‘.safepay’.
* **Tống tiền kép (Double-extortion):** Chiến lược này bao gồm hai giai đoạn: đầu tiên là trích xuất dữ liệu nhạy cảm (data theft), sau đó là mã hóa dữ liệu trên hệ thống của nạn nhân. Việc đe dọa công bố dữ liệu nếu nạn nhân không trả tiền chuộc sẽ gia tăng áp lực đáng kể, buộc nạn nhân phải tuân thủ yêu cầu của kẻ tấn công.
* **Quy trình mã hóa chuyên sâu:**
* **Giải mã chuỗi dựa trên XOR:** SafePay sử dụng nhiều khóa XOR để giải mã các chuỗi nhúng trong mã, giúp ẩn các chức năng và dữ liệu quan trọng của ransomware.
* **Tải thư viện động:** Ransomware này tải động các thư viện hệ thống như advapi32.dll và ntdll.dll trong quá trình thực thi để truy cập các hàm API cần thiết cho hoạt động của nó, ví dụ như thao tác với registry, quản lý tiến trình hoặc mã hóa.
* **Phân tích đối số:** SafePay có khả năng phân tích các đối số dòng lệnh để tùy chỉnh các tùy chọn thực thi, chẳng hạn như phần trăm dữ liệu cần mã hóa và nhắm mục tiêu cụ thể vào các ổ đĩa mạng.
* **Thiết lập cơ chế bền vững và ngăn chặn khôi phục:**
* **Thay đổi Windows Registry:** Để đảm bảo sự tồn tại trên hệ thống, SafePay sửa đổi Windows registry để tự động khởi chạy khi hệ thống khởi động.
* **Xóa bản sao lưu và vô hiệu hóa tùy chọn khôi phục:** Ransomware thực thi các lệnh để xóa các bản sao lưu cục bộ và vô hiệu hóa các tùy chọn khôi phục hệ thống, đảm bảo rằng nạn nhân có rất ít lựa chọn để khôi phục dữ liệu mà không trả tiền chuộc.
* **Hiệu quả cao:** SafePay tập trung vào các ổ đĩa di động và ổ cứng cố định, mã hóa các tệp tin một cách có hệ thống. Đồng thời, việc sử dụng các hoạt động đa luồng (multithreaded operations) giúp tăng cường hiệu quả và tốc độ mã hóa, biến nó thành một đối thủ đáng gờm trong lĩnh vực ransomware.
Chỉ số thỏa hiệp (Indicators of Compromise – IoC)
Dựa trên thông tin được cung cấp, chỉ số thỏa hiệp chính trực tiếp liên quan đến hành vi mã hóa của SafePay là phần mở rộng tệp tin:
* **Phần mở rộng tệp tin mã hóa:** `.safepay`
Khuyến nghị phòng thủ
Các tổ chức được khuyến nghị củng cố hệ thống phòng thủ của mình chống lại các cuộc xâm nhập dựa trên RDP và VPN. Điều này bao gồm việc triển khai xác thực đa yếu tố (MFA) cho tất cả các tài khoản có quyền truy cập từ xa, sử dụng các chính sách mật khẩu mạnh và thường xuyên vá lỗi các lỗ hổng trên các dịch vụ truy cập từ xa. Ngoài ra, việc giám sát chặt chẽ các chỉ số hoạt động bất thường và hành vi đáng ngờ trên mạng là rất quan trọng để phát hiện và giảm thiểu rủi ro do SafePay gây ra.
