SafePay, một mối đe dọa mạng mới nổi, đã nhanh chóng chuyển mình từ ẩn danh thành khét tiếng trong năm 2025. Chỉ riêng tháng 6, nhóm này đã nhận trách nhiệm cho các cuộc tấn công vào 73 tổ chức, đứng đầu bảng xếp hạng Threat Debrief của Bitdefender.
Tháng 7 chứng kiến một đợt tấn công khác với 42 nạn nhân được bổ sung. Với hơn 270 nạn nhân được tuyên bố cho đến nay trong năm nay, các phương pháp bí mật và việc từ chối mô hình Ransomware-as-a-Service (RaaS) đã biến SafePay ransomware thành một tác nhân nguy hiểm độc đáo trong hệ sinh thái tội phạm mạng.
Sự Trỗi Dậy Của SafePay và Mô Hình Mã Độc Ransomware Độc Đáo
SafePay ransomware lần đầu tiên xuất hiện vào tháng 9 năm 2024. Sự xuất hiện này diễn ra ngay sau khi các cơ quan thực thi pháp luật toàn cầu làm gián đoạn hoạt động của ALPHV (BlackCat).
Đồng thời, cơ sở hạ tầng của LockBit cũng đã bị thu giữ trong Chiến dịch Cronos. Sự kiện này tạo ra một khoảng trống cho các nhóm ransomware mới như SafePay.
Phân tích pháp y ban đầu đã tiết lộ những điểm tương đồng về mã giữa SafePay và LockBit Black. Cụ thể, cả hai đều sử dụng thuật toán mã hóa ChaCha20.
Chi tiết về các kỹ thuật, chiến thuật và quy trình của nhóm SafePay ransomware có thể được tham khảo tại blog của Bitdefender.
Đặc Điểm Kỹ Thuật và Cơ Chế Mã Hóa Của SafePay Ransomware
Tuy nhiên, SafePay ransomware có những điểm khác biệt chính so với LockBit. SafePay tạo một khóa đối xứng duy nhất cho mỗi tệp và nhúng một khóa chủ (master key) vào ransomware.
Ngược lại, các nhóm liên kết của LockBit thường sử dụng một phương pháp quản lý khóa chung. Sự khác biệt này cho thấy một cách tiếp cận kiểm soát chặt chẽ hơn đối với quá trình mã hóa và giải mã của SafePay.
Mô Hình Hoạt Động Không Liên Kết
SafePay hoàn toàn từ bỏ mô hình liên kết (affiliate model). Điều này cho phép nhóm duy trì quyền kiểm soát hoàn toàn đối với các hoạt động và lợi nhuận của mình. Không giống như LockBit và nhiều nhóm ransomware khác, SafePay không quảng cáo chương trình liên kết hoặc thuê các nhà điều hành bên thứ ba.
Sự hiện diện công khai duy nhất của chúng là một trang web rò rỉ dữ liệu, nơi liệt kê các nạn nhân sau khi dữ liệu bị mã hóa. Việc loại bỏ hệ sinh thái mã nguồn mở giúp SafePay ransomware giảm thiểu rủi ro rò rỉ mã, phơi bày cơ sở hạ tầng và bị phản bội bởi nội bộ.
Mô hình khép kín này cũng cho phép nhóm thu về 100% các khoản tiền chuộc. Điều này có thể giải thích khả năng của chúng trong việc đòi hỏi các khoản thanh toán giá trị cao.
Mục Tiêu Tấn Công và Chiến Lược “Blitz Attack”
Các nạn nhân của SafePay ransomware bao gồm các tổ chức quy mô vừa và doanh nghiệp lớn tại Hoa Kỳ, Đức, Vương quốc Anh và Canada. Các ngành công nghiệp bị nhắm mục tiêu rất đa dạng.
Phạm Vi Nạn Nhân và Ngành Công Nghiệp
Các lĩnh vực bao gồm sản xuất, chăm sóc sức khỏe, xây dựng, giáo dục, nghiên cứu, chính phủ và dịch vụ công nghệ. Những ngành này đặc biệt dễ bị gián đoạn về tính khả dụng, làm tăng khả năng nạn nhân sẽ chấp nhận yêu cầu tiền chuộc.
Việc chấp nhận yêu cầu tiền chuộc là để tránh thời gian ngừng hoạt động và thiệt hại về uy tín. Hồ sơ doanh thu của các tổ chức bị nhắm mục tiêu thường chỉ hơn 5 triệu USD.
Tuy nhiên, có những trường hợp ngoại lệ, bao gồm mười công ty với doanh thu vượt quá 100 triệu USD và một nạn nhân lớn báo cáo hơn 40 tỷ USD thu nhập.
Tốc Độ Khai Thác và Khóa Hóa Dữ Liệu Trong Các Cuộc Tấn Công Ransomware
Bất kể quy mô, các nạn nhân phải đối mặt với quá trình mã hóa nhanh chóng. SafePay chuyển từ việc truy cập ban đầu sang mã hóa hoàn toàn chỉ trong 24 giờ hoặc ít hơn.
Đây là một đặc điểm nổi bật của các tấn công ransomware do SafePay thực hiện. Chiến thuật đặc trưng của SafePay liên quan đến các cuộc tấn công chớp nhoáng (blitz attacks).
Chúng công bố hàng loạt 10 nạn nhân trở lên trong một ngày. Vào ngày 20 tháng 11 năm 2024, nhóm đã liệt kê 23 tổ chức. Vào ngày 30 tháng 3 năm 2025, chúng lập kỷ lục cá nhân với 29 nạn nhân.
Trong khi các nhóm RaaS hàng đầu như Qilin và Akira cũng thực hiện các chiến dịch nhanh chóng (Qilin đạt đỉnh 19 nạn nhân trong một ngày vào ngày 12 tháng 6 năm 2025, Akira đạt 32 nạn nhân vào ngày 6 tháng 4 năm 2025), mô hình không liên kết của SafePay vẫn sánh ngang và đôi khi vượt qua các con số này.
Tuy nhiên, doanh thu trung bình của các tổ chức là nạn nhân của các cuộc tấn công của SafePay khá nhất quán trong bốn tháng qua. Nhiều tổ chức nạn nhân được báo cáo có doanh thu ở mức hoặc chỉ trên 5 triệu USD.
Kỹ Thuật Khai Thác và Dấu Hiệu Đặc Trưng Khác Của SafePay
Các chuyên gia cho rằng mô hình này là do trinh sát có mục tiêu. Nhóm sử dụng các công cụ hợp pháp như ShareFinder.ps1 (Invoke-ShareFinder).
Kỹ Thuật Khai Thác và Công Cụ Trinh Sát
Công cụ này được tái sử dụng để nhanh chóng định vị các chia sẻ mạng có giá trị. Việc khai thác các lỗ hổng đã biết và các kỹ thuật “living-off-the-land” tiếp tục đẩy nhanh quá trình xâm nhập và thực thi của SafePay ransomware.
Điều này cho phép chúng duy trì ẩn danh và hiệu quả trong hoạt động của mình. Sự tinh vi trong kỹ thuật là một yếu tố then chốt giúp SafePay đạt được tốc độ tấn công đáng kinh ngạc.
Dấu Hiệu Địa Lý và Văn Hóa
Trang web rò rỉ dữ liệu của SafePay ra mắt vào tháng 11 năm 2024 và gần đây đã sử dụng khẩu hiệu: “© Not everyone can survive the violence of creation.” Cụm từ này xuất phát từ một tác phẩm sân khấu của Anh mang tên Strange Factories.
Điều này gợi ý về các mối liên hệ có thể có ở Vương quốc Anh giữa các thành viên trong nhóm. Hơn nữa, mã độc ransomware SafePay kiểm tra các bố cục bàn phím Cyrillic.
Nó sẽ từ chối thực thi trên các hệ thống có bật bố cục Cyrillic. Điều này cho thấy một sự tránh né có chủ đích các mục tiêu của Nga hoặc liên minh với các thực thể nói tiếng Nga.
Chuỗi Tấn Công (Kill Chain) Của SafePay Ransomware
Chuỗi tấn công của SafePay ransomware bao gồm các giai đoạn điển hình sau:
- Truy cập ban đầu: Thường thông qua khai thác lỗ hổng hoặc kỹ thuật social engineering.
- Trinh sát nội bộ: Sử dụng các công cụ như
ShareFinder.ps1để xác định các tài nguyên giá trị. - Di chuyển ngang và leo thang đặc quyền: Mở rộng quyền kiểm soát trong mạng mục tiêu.
- Thu thập dữ liệu: Sao chép dữ liệu nhạy cảm để tống tiền.
- Mã hóa: Sử dụng thuật toán ChaCha20, mã hóa các tệp trên hệ thống bị ảnh hưởng.
- Thực thi ghi chú tiền chuộc: Đặt một tệp ghi chú tiền chuộc trên hệ thống nạn nhân.
Nạn nhân nhận được một ID duy nhất để đàm phán giải mã. Họ có mười ngày để thanh toán bằng Bitcoin trước khi dữ liệu của họ bị rò rỉ công khai. Đây là áp lực thời gian lớn mà SafePay ransomware tạo ra.
Biện Pháp Phòng Chống và Ứng Phó Với SafePay Ransomware
Để đối phó với các cuộc tấn công của SafePay, các đội ngũ an ninh được khuyến nghị áp dụng một chiến lược phòng thủ đa lớp. Chiến lược này kết hợp các yếu tố phòng ngừa, bảo vệ, phát hiện và phản ứng:
- Phòng ngừa: Thực hiện các bản vá bảo mật định kỳ, quản lý quyền truy cập nghiêm ngặt và đào tạo nhận thức bảo mật cho nhân viên.
- Bảo vệ: Triển khai các giải pháp bảo mật điểm cuối (EDR), tường lửa thế hệ mới (NGFW) và các hệ thống ngăn chặn xâm nhập (IPS).
- Phát hiện: Sử dụng các công cụ giám sát mạng và hệ thống (SIEM) để phát hiện các hoạt động bất thường hoặc dấu hiệu của sự xâm nhập sớm.
- Phản ứng: Xây dựng và diễn tập kế hoạch ứng phó sự cố ransomware, bao gồm sao lưu dữ liệu ngoại tuyến và chiến lược khôi phục.
Khi SafePay ransomware tiếp tục chiến dịch tấn công mạnh mẽ, các tổ chức phải tăng cường khả năng phục hồi và sẵn sàng để chống lại mối đe dọa ransomware đang phát triển nhanh chóng này. Đảm bảo an ninh mạng toàn diện là yếu tố then chốt để bảo vệ tài sản số.
