Kể từ khi được phát hiện vào tháng 9 năm 2024, tổ chức SafePay ransomware đã nhanh chóng nổi lên như một tác nhân đe dọa mạnh mẽ, đánh dấu sự gia tăng đáng báo động trong bức tranh an ninh mạng. Không giống như các mô hình Ransomware-as-a-Service (RaaS) phổ biến vốn dựa vào các chi nhánh để phát tán và chia sẻ lợi nhuận, SafePay hoạt động tự chủ hoàn toàn. Các nhà phát triển cốt lõi của nhóm trực tiếp dàn dựng các vụ xâm nhập và chiến dịch tống tiền. Cách tiếp cận khép kín này đã giúp nhóm tuyên bố chịu trách nhiệm về hơn 265 nạn nhân trên toàn cầu vào đầu năm 2025, tăng mạnh từ hơn 20 mục tiêu trong năm 2024.
Sự Trỗi Dậy và Mô Hình Hoạt Động của SafePay ransomware
Sự xuất hiện của SafePay ransomware ban đầu gần như không được chú ý cho đến khi có sự gia tăng đột biến về số lượng nạn nhân. Tổ chức này đã tận dụng một mô hình hoạt động khác biệt so với hầu hết các nhóm mã độc tống tiền lớn khác. Thay vì phân phối phần mềm độc hại cho các chi nhánh để mở rộng phạm vi tấn công, SafePay giữ quyền kiểm soát hoàn toàn từ việc xâm nhập ban đầu đến giai đoạn tống tiền cuối cùng.
Phương thức tự chủ này cho phép SafePay duy trì sự kiểm soát chặt chẽ đối với các hoạt động của mình, từ đó giảm thiểu rủi ro bị lộ hoặc gián đoạn do sự lỏng lẻo trong mạng lưới chi nhánh. Sự tập trung vào việc tự thực hiện các cuộc tấn công cũng phản ánh một xu hướng mới trong các nhóm ransomware, nơi sự chính xác và khả năng né tránh được ưu tiên hơn là sự lan truyền rộng rãi dựa trên liên kết.
Chiến lược Tống tiền Kép và Tác động
Chiến lược tống tiền kép của SafePay bao gồm hai giai đoạn chính. Đầu tiên, chúng mã hóa các tệp của nạn nhân bằng các thuật toán mạnh mẽ, khiến dữ liệu không thể truy cập được. Thứ hai, SafePay trích xuất dữ liệu nhạy cảm của nạn nhân để làm đòn bẩy. Dữ liệu này sẽ bị đe dọa công bố trên một trang web rò rỉ chuyên dụng trên Dark Web (DLS) nếu tiền chuộc không được thanh toán bằng tiền điện tử.
Các chiến thuật tấn công quyết liệt của SafePay đã làm gián đoạn hoạt động của nhiều lĩnh vực khác nhau. Điều này nhấn mạnh sự tinh vi ngày càng tăng của các hoạt động ransomware độc lập, vốn ưu tiên độ chính xác và khả năng né tránh hơn là sự phổ biến rộng rãi do các chi nhánh thúc đẩy. Sự kết hợp giữa mã hóa và đe dọa rò rỉ dữ liệu tạo ra áp lực rất lớn lên nạn nhân.
Đặc điểm Kỹ thuật của Mã độc SafePay
Mã độc của SafePay được thiết kế theo dạng mô-đun, có thể cấu hình thông qua các tham số dòng lệnh. Điều này cho phép chúng tùy chỉnh quá trình mã hóa các ổ đĩa cụ thể, làm cho mỗi cuộc tấn công có thể được điều chỉnh phù hợp với môi trường mục tiêu. Một tính năng đáng chú ý khác là cơ chế tự xóa sau khi thực thi, giúp loại bỏ dấu vết của mã độc trên hệ thống bị nhiễm, làm cho việc điều tra và phân tích trở nên khó khăn hơn.
Mã độc còn tích hợp các kiểm tra định vị địa lý (geofencing) để chấm dứt hoạt động trên các hệ thống sử dụng các ngôn ngữ như Armenia, Azerbaijan (chữ Kirin), Belarus, Georgia, Kazakhstan, Nga hoặc Ukraina. Điều này cho thấy SafePay tránh các khu vực thuộc Cộng đồng các Quốc gia Độc lập (CIS), một dấu hiệu chung cho thấy các tác nhân đe dọa thường tránh các khu vực tài phán có thể có liên kết hoặc rủi ro bị truy tố.
Việc nhắm mục tiêu có chọn lọc này phù hợp với trọng tâm của SafePay vào các nền kinh tế phát triển, nơi khả năng thu được các khoản tiền chuộc lớn là khả thi hơn. Điều này được chứng minh thêm qua việc chúng tránh các tên miền và hạ tầng liên quan đến CIS. Hành vi này giúp giảm thiểu rủi ro pháp lý và tối đa hóa lợi nhuận từ các cuộc tấn công.
Hồ sơ Nạn nhân và Phạm vi Mục tiêu của SafePay
Phân tích các nạn nhân của SafePay cho thấy sự tập trung rõ rệt vào khu vực Bắc Mỹ và Tây Âu. Hoa Kỳ chịu ảnh hưởng nặng nề nhất với 103 sự cố được xác nhận, chiếm gần 40% tổng số trường hợp, tiếp theo là Đức với 47 vụ. Các cuộc tấn công bổ sung đã diễn ra ở Vương quốc Anh, Úc, Canada và một số quốc gia ở Mỹ Latinh và Châu Á.
Các ngành bị ảnh hưởng chủ yếu bao gồm sản xuất, công nghệ, giáo dục, dịch vụ kinh doanh và chăm sóc sức khỏe. Ngoài ra, các lĩnh vực giao thông vận tải, tài chính, nông nghiệp và dịch vụ công cộng cũng là mục tiêu. Việc nhắm mục tiêu công nghiệp rộng rãi này khai thác các tổ chức dễ bị gián đoạn hoạt động, nơi áp lực khôi phục quyền truy cập thường lớn hơn rủi ro không thanh toán tiền chuộc.
Chuỗi Tấn công Mạng (Cyber Kill Chain) của SafePay
Về mặt hoạt động, SafePay tuân thủ một chuỗi tấn công mạng (cyber kill chain) được tinh chỉnh để tối ưu hóa hiệu quả. Các giai đoạn tấn công được thực hiện một cách có hệ thống, từ việc thiết lập quyền truy cập ban đầu đến việc mã hóa dữ liệu cuối cùng và yêu cầu tiền chuộc.
Giai đoạn Tiếp cận Ban đầu (Initial Access)
SafePay thường bắt đầu các cuộc tấn công bằng cách khai thác thông tin xác thực bị đánh cắp, được mua lại từ các thị trường Dark Web hoặc thông qua các chiến dịch thu thập thông tin (infostealer). Nhóm này cũng thường bỏ qua xác thực đa yếu tố (MFA) thông qua các tường lửa bị cấu hình sai hoặc các cuộc tấn công lừa đảo/lừa đảo qua điện thoại (phishing/vishing) lai ghép, liên quan đến kỹ thuật xã hội thời gian thực trên các nền tảng như Microsoft Teams. Việc sử dụng các kênh này cho phép chúng tiếp cận mục tiêu một cách hiệu quả.
Giai đoạn Thực thi (Execution) và Duy trì (Persistence)
Sau khi xâm nhập thành công, SafePay tận dụng các binary sẵn có trên hệ thống (Living-off-the-Land – LotL) như regsvr32 và cmd.exe để thực thi mã độc. Các công cụ này được dùng để tiêm mã vào các tiến trình hợp pháp, giúp che giấu hoạt động độc hại và làm cho việc phát hiện trở nên khó khăn hơn. Điều này giảm thiểu sự phụ thuộc vào các công cụ độc hại tùy chỉnh, vốn dễ bị phát hiện bởi các giải pháp an ninh mạng.
Khả năng duy trì truy cập được thiết lập thông qua các công cụ như ConnectWise ScreenConnect hoặc các backdoor tùy chỉnh như QDoor. Các công cụ này thường được làm phức tạp hóa (obfuscated) để chống lại việc phân tích và gỡ lỗi, đảm bảo rằng SafePay có thể giữ quyền kiểm soát hệ thống ngay cả sau khi hệ thống khởi động lại hoặc khi các biện pháp phòng thủ được tăng cường.
Nâng cao Đặc quyền (Privilege Escalation) và Né tránh Phòng thủ (Defense Evasion)
Để mở rộng quyền hạn trong hệ thống, SafePay khai thác các công cụ như Mimikatz để trích xuất thông tin xác thực (credential dumping) và vượt qua kiểm soát tài khoản người dùng (UAC). Việc nâng cao đặc quyền cho phép chúng thực hiện các hành động sâu hơn trong mạng, bao gồm vô hiệu hóa phần mềm chống virus, thao túng Chính sách Nhóm (Group Policy), và xóa nhật ký sự kiện cùng các bản sao bóng (volume shadow copies).
Các kỹ thuật né tránh phòng thủ này là rất quan trọng để SafePay duy trì sự hiện diện và thực hiện các giai đoạn tiếp theo của cuộc tấn công mà không bị phát hiện hoặc bị chặn bởi các hệ thống an ninh mạng của nạn nhân. Việc xóa nhật ký và bản sao bóng đặc biệt gây khó khăn cho việc điều tra pháp y sau này.
Di chuyển Ngang (Lateral Movement) và Đánh cắp Dữ liệu (Data Exfiltration)
Di chuyển ngang trong mạng nạn nhân được thực hiện thông qua các giao thức như RDP (Remote Desktop Protocol) và các chia sẻ quản trị (administrative shares). Các kỹ thuật này cho phép SafePay ransomware lây lan từ hệ thống bị xâm nhập ban đầu sang các máy chủ và máy trạm khác trong cùng một mạng, mở rộng phạm vi kiểm soát và tiếp cận dữ liệu nhạy cảm hơn.
Quá trình trích xuất dữ liệu (data exfiltration) được thực hiện bằng các công cụ như FileZilla hoặc Rclone, cho phép chúng hút hàng gigabyte các kho lưu trữ nén ra khỏi mạng của nạn nhân. Đây là một phần quan trọng của chiến lược tống tiền kép, cung cấp cho SafePay đòn bẩy để buộc nạn nhân phải trả tiền chuộc.
Tác động Cuối cùng và Yêu cầu Chuộc tiền
Tác động cuối cùng của cuộc tấn công là mã hóa các tệp tin trên hệ thống bị nhiễm, với việc thêm phần mở rộng .safepay vào tên tệp. Kèm theo đó là các ghi chú chuộc tiền có tên readme_safepay.txt, hướng dẫn nạn nhân đến các cổng thông tin được lưu trữ trên mạng TON để tiến hành đàm phán. Các cổng này thường được sử dụng để duy trì tính ẩn danh và tránh bị theo dõi.
Biện pháp Giảm thiểu và Phòng thủ Toàn diện Chống lại SafePay ransomware
Để chống lại SafePay ransomware, một tư thế phòng thủ chiều sâu (defense-in-depth) đa diện là cần thiết, tập trung vào việc củng cố các biện pháp kiểm soát truy cập và giám sát hệ thống. Sự kết hợp của nhiều lớp bảo vệ sẽ giúp giảm thiểu rủi ro và tăng cường khả năng phục hồi của tổ chức trước các cuộc tấn công.
Kiểm soát Truy cập và Xác thực Mạnh mẽ
Để ngăn chặn SafePay ransomware, việc củng cố kiểm soát truy cập là tối quan trọng. Điều này bao gồm việc thực thi xác thực đa yếu tố (MFA) trên tất cả các tài khoản quan trọng, sử dụng mật khẩu độc nhất và phức tạp cho mỗi dịch vụ, cùng với việc kiểm tra tài khoản định kỳ. Các biện pháp này giúp ngăn chặn việc lạm dụng thông tin xác thực bị đánh cắp, đây là điểm khởi đầu phổ biến cho các cuộc tấn công của SafePay.
Củng cố Hệ thống và Giám sát Phát hiện
Củng cố hệ thống thông qua việc vá lỗi kịp thời cho các VPN, điểm cuối RDP và các dịch vụ bị phơi nhiễm là yếu tố then chốt. Việc này bịt các lỗ hổng mà SafePay có thể khai thác để xâm nhập. Kết hợp với việc giám sát bằng các giải pháp phát hiện và phản hồi điểm cuối (EDR) cho các hành vi bất thường, như truy cập vào tiến trình LSASS hoặc các lệnh PowerShell không điển hình, có thể phá vỡ giai đoạn thực thi và di chuyển ngang của cuộc tấn công. Đây là một phần quan trọng trong việc tăng cường an ninh mạng của tổ chức.
Khả năng Phục hồi và Ứng phó Hiệu quả
Hạn chế các tiện ích có thể bị lạm dụng trên hệ thống, phát hiện các chỉ số cụ thể của ransomware như thay đổi tệp tin hàng loạt hoặc sử dụng các công cụ từ xa trái phép, cùng với việc duy trì các bản sao lưu ngoại tuyến được cách ly và kiểm tra quy trình khôi phục thường xuyên, sẽ tăng cường khả năng phục hồi. Những biện pháp này giúp giảm thiểu thiệt hại ngay cả khi một cuộc tấn công thành công.
Đào tạo người dùng về cách nhận biết lừa đảo (phishing) và các diễn tập ứng phó sự cố, tích hợp với phân đoạn mạng (network segmentation), đảm bảo khả năng khoanh vùng nhanh chóng khi xảy ra xâm nhập. Các giải pháp này không chỉ giúp tổ chức phát hiện xâm nhập mà còn giảm thiểu đáng kể đòn bẩy tống tiền của tác nhân đe dọa đang ngày càng phát triển này. Khi SafePay tiếp tục mở rộng không kiểm soát, các tổ chức phải ưu tiên các biện pháp bảo vệ kỹ thuật này để đối phó với phương pháp tự chủ, có tác động cao của chúng, nhằm bảo vệ dữ liệu và hoạt động kinh doanh khỏi mối đe dọa mạng nguy hiểm này.
