SafePay

报告编号: TIR-2026-0701-017 | 分类等级: TLP:AMBER | 发布日期: 2026年7月1日 | 情报来源: 多源交叉验证(OSINT + Ransom-DB + Picus Labs + CYFIRMA + Check Point + ThreatLocker + Xcitium + Blackpoint Cyber + Barracuda + Halcyon Q1-Q2-2025)


一、执行摘要

SafePay 是2024年9-10月快速崛起的集中化、非 RaaS 模式勒索组织。该组织采用双重勒索策略,以后 Conti 时代的专业团队运营,从入侵到加密通常在 24小时内完成。截至2026年3月,Ransom-DB 已追踪到超过 403 名确认受害者,主要分布在美国(182)、德国(62)、加拿大(24)和英国(21)。

SafePay 最显著的特征是其集中化封闭运营模式——不采用 RaaS 模式,严格控制基础设施、谈判流程和利润,最大限度降低代码泄露和执法渗透风险。2025年5月,SafePay 以单月70次攻击成为全球最活跃勒索软件组织,占全球勒索攻击总量的18%。2025年12月29日,该组织创下单日10起攻击的纪录。该组织使用 AES-256-CBC + RSA-4096 加密方案,加密文件追加 .safepay 扩展名。

关键发现

维度关键指标
组织规模403+ 受害者
首要目标美国(182),德国(62),加拿大(24),英国(21)
加密方式AES-256-CBC + RSA-4096
首要入口受损凭证、FortiGate 漏洞、社会工程(邮件轰炸+Teams冒充)
商业模式集中化封闭运营(非 RaaS)
攻击速度入侵到加密 ≤ 24小时
文件扩展名.safepay
勒索信readme_safepay.txt
关联工具QDoor 后门(与 BlackSuit 关联)、ScreenConnect
解密可能性不存在(无公开解密工具)
当前状态活跃(Frontrunner Q1-Q2-2025)

威胁等级评估

评估维度等级说明
技术能力🔴 极高Conti TTPs、QDoor 后门、CMSTPLUA UAC 绕过、UPX 加壳
运营成熟度🔴 极高集中化封闭运营、24小时攻击周期、假日战术选择
攻击规模🔴 极高403+ 受害者,单月70次攻击峰值
目标针对性🟠 高行业无差别(零售/医疗/IT/政府/制造)
数据泄露风险🔴 极高双重勒索 + WinRAR/Rclone/FileZilla 多渠道外传

二、威胁行为者画像

2.1 组织标识

属性
官方名称SafePay
组织类型集中化封闭运营(非 RaaS)
活跃周期2024年9月 – 至今
主要语言英语(勒索信/谈判)
地理归属东欧/亚洲(CIS kill switch 证据)
攻击目标全球(美国/德国/加拿大/英国为主)
动机经济利益

2.2 运营模式

┌──────────────────────────────────────────────────────┐
│           SafePay 集中化封闭运营模式                    │
├──────────────────────────────────────────────────────┤
│                                                        │
│  与 RaaS 模式对比:                                    │
│                                                        │
│  RaaS 模式:           SafePay 模式:                   │
│  ├── 大量附属机构       ├── 单一核心团队                │
│  ├── 代码泄露风险高     ├── 代码泄露风险极低            │
│  ├── 执法渗透风险高     ├── 执法渗透风险极低            │
│  ├── TTPs 不一致       ├── TTPs 高度一致                │
│  └── 利润分成           └── 独占全部利润                │
│                                                        │
│  Conti 传承:                                          │
│  ├── 标准 Conti TTPs                                   │
│  ├── 垃圾邮件钓鱼 + 自定义加载器                       │
│  ├── ESXi 平台攻击                                     │
│  └── 可能包含 Conti 前成员                             │
│                                                        │
└──────────────────────────────────────────────────────┘

三、归因分析

3.1 地理归属

证据类型详情置信度
CIS kill switch早期样本包含独联体语言检测终止开关
Conti TTPs使用标准 Conti 战术技术程序中-高
QDoor 后门使用与 BlackSuit 关联的后门工具
kill switch 移除后续版本移除 CIS 检测,扩大攻击范围

四、技术能力评估

4.1 加密方案

属性
对称加密AES-256-CBC
非对称加密RSA-4096
文件扩展名.safepay
勒索信readme_safepay.txt
加壳工具UPX
执行方式regsvr32.exe / rundll32.exe(LOLBins)
互斥体确保每台主机仅运行一个加密实例

4.2 攻击链速度

┌──────────────────────────────────────────────────────┐
│           SafePay 24小时攻击周期                       │
├──────────────────────────────────────────────────────┤
│                                                        │
│  T+0h   侦察(Shodan/Apollo OSINT)                   │
│  T+1h   初始访问(凭证/漏洞/社会工程)                 │
│  T+3h   持久化(QDoor/ScreenConnect)                  │
│  T+5h   权限提升(CMSTPLUA COM)                       │
│  T+8h   发现(Invoke-ShareFinder)                     │
│  T+10h  横向移动(PsExec/WinRM/RDP)                   │
│  T+14h  数据窃取(WinRAR 5GB分卷 + Rclone)           │
│  T+18h  防御规避(终止安全进程/删除卷影副本)          │
│  T+20h  加密部署(AES-256-CBC + RSA-4096)            │
│  T+24h  完成                                           │
│                                                        │
└──────────────────────────────────────────────────────┘

五、攻击链分析

5.1 初始访问

技术MITRE ATT&CK详情
受损凭证T1078IAB 购买或暴力破解(VPN/RDP)
FortiGate 漏洞T1190配置错误防火墙(允许本地账户无MFA)
社会工程T1566邮件轰炸 + Teams 冒充 IT + Quick Assist
GlobalProtectT1190VPN 平台渗透(Ingram Micro 案例)

5.2 执行与持久化

技术MITRE ATT&CK详情
QDoor 后门T1105与 BlackSuit 关联的持久化后门
ScreenConnectT1219合法远程管理工具
CMSTPLUA COMT1548.002UAC 绕过权限提升
进程注入T1055获取管理员权限

5.3 横向移动

技术MITRE ATT&CK详情
PsExecT1570PsExec.exe \\TARGET -u Domain\Admin -p Password cmd.exe
WinRMT1021.006Windows 远程管理
RDPT1021.001远程桌面
Invoke-ShareFinderT1135PowerTools 网络/SMB 共享枚举

5.4 数据外传

技术MITRE ATT&CK详情
WinRART15605GB 分卷归档(排除非必需格式)
RcloneT1567.002云存储外传
FileZillaT1048FTP 外传
RDP 剪贴板T1071剪贴板数据传输

5.5 防御规避与影响

技术MITRE ATT&CK详情
终止安全进程T1562.001Sophos/Veeam/backup/GxVss 等
终止业务进程T1562.001sql/oracle/exchange/firefox/chrome 等
删除卷影副本T1490vssadmin delete shadows /all /quiet
禁用恢复T1490bcdedit /set {default} recoveryenabled no
UPX 加壳T1027二进制混淆
数据加密T1486AES-256-CBC + RSA-4096

六、受害者分析

6.1 规模与地理分布

指标
确认受害者403+
首要国家美国(182,45%)、德国(62,15%)、加拿大(24)、英国(21)
其他目标阿根廷(9)、新加坡(7)、哥伦比亚(5)

6.2 行业分布

行业说明
零售中型企业(营收$1000万级)
医疗专科医院(如 Smart Dimensions)
IT 分销全球最大 IT 分销商(Ingram Micro)
休闲服务高尔夫俱乐部等
政府巴巴多斯统计局
专业服务金融/法律/保险
制造/建筑制造企业和建筑公司

6.3 重大攻击事件

时间受害者影响
2024.10Microlise(英国)1.2TB 数据泄露
2025.07Ingram Micro(全球IT分销)近1TB数据窃取,Xvantage平台离线72h+,每日损失$1.36亿
2025.12多目标(假日攻击浪潮)12.29单日10起,12.27单日9起

七、集中化运营模式分析

7.1 赎金经济

指标
赎金范围$10万 - $30万
制裁折扣受害者告知制裁后果后大幅降低
支付方式TON 去中心化网络 + Tor
谈判渠道Tor 泄露站 + 电子邮件

八、IOC 完整列表

8.1 网络指标

类型说明
扩展名.safepay加密文件扩展名
文件readme_safepay.txt勒索信
工具QDoorBlackSuit 关联后门
工具ScreenConnect合法远程管理工具滥用
工具Invoke-ShareFinderPowerTools 网络枚举
工具WinRAR / Rclone / FileZilla数据外传
执行regsvr32.exe / rundll32.exeLOLBins 执行

8.2 文件哈希

类型哈希值
SHA256a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526
SHA256fd509df74a8d6a9e96762337efd46280ebf8d154c6c5dfbac7b3e8f7bb61f191
SHA256625abbf876f256662f33a88c122bf787edf74b882c35adbd61562b5bd1b2ac27

8.3 可疑文件路径

C:\ProgramData\<8位随机>\encryptor.exe
C:\ProgramData\<8位随机>\system.exe
C:\ProgramData\<8位随机>\sliver.bat
C:\ProgramData\rclone\*
C:\temp\* / C:\temp2\*

8.4 攻击工具链

Shodan/Apollo 侦察 → 受损凭证/FortiGate/社会工程
    ↓
QDoor 后门 + ScreenConnect(持久化)
    ↓
CMSTPLUA COM(UAC 绕过)
    ↓
Invoke-ShareFinder(网络发现)
    ↓
PsExec / WinRM / RDP(横向移动)
    ↓
WinRAR 5GB分卷 + Rclone/FileZilla(数据外传)
    ↓
终止安全/业务进程 + 删除卷影副本
    ↓
SafePay 载荷(AES-256-CBC + RSA-4096 + .safepay 扩展名)

九、检测规则

9.1 Sigma 规则

规则 1:SafePay 可疑文件路径

title: SafePay - Suspicious File Creation in ProgramData
id: sp001-file-creation
status: experimental
description: 检测 SafePay 在 ProgramData 随机目录创建可疑文件
logsource:
  category: file_event
  product: windows
detection:
  selection:
    TargetFilename|contains: '\ProgramData\'
    TargetFilename|endswith:
      - '\encryptor.exe'
      - '\system.exe'
      - '\sliver.bat'
  condition: selection
level: critical
tags:
  - attack.execution
  - attack.t1059

规则 2:SafePay UAC 绕过

title: SafePay - CMSTPLUA UAC Bypass
id: sp002-uac-bypass
status: experimental
description: 检测通过 CMSTPLUA COM 接口绕过 UAC 的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    ParentImage|endswith: '\DllHost.exe'
    CommandLine|contains: 'CMSTPLUA'
  condition: selection
level: high
tags:
  - attack.privilege_escalation
  - attack.t1548.002

规则 3:SafePay 安全进程终止

title: SafePay - Security Process Termination
id: sp003-security-termination
status: experimental
description: 检测 SafePay 终止安全软件和备份服务的行为
logsource:
  category: process_creation
  product: windows
detection:
  selection:
    CommandLine|contains:
      - 'net stop'
    CommandLine|contains|any:
      - 'Sophos'
      - 'Veeam'
      - 'backup'
      - 'GxVss'
      - 'sqlsvc'
      - 'msexchange'
  condition: selection
level: critical
tags:
  - attack.defense_evasion
  - attack.t1562.001

9.2 YARA 规则

rule SafePay_Ransomware {
    meta:
        description = "检测 SafePay 勒索软件载荷"
        author = "Threat Intelligence Team"
        date = "2026-07-01"
        reference = "SafePay centralized ransomware"
    strings:
        $s1 = ".safepay" ascii
        $s2 = "readme_safepay.txt" ascii
        $s3 = "SafePay" ascii
        $s4 = "QDoor" ascii
        $s5 = "vssadmin delete shadows" ascii
        $s6 = "CMSTPLUA" ascii
        $hex1 = { 48 89 5C 24 08 48 89 6C 24 10 48 89 74 24 18 }
    condition:
        3 of ($s*) and $hex1
}

十、风险评估矩阵

风险维度评分说明
加密强度9/10AES-256-CBC + RSA-4096,密码学强度极高
传播能力7/10集中化运营,无附属网络
规避能力8/10UPX 加壳、CMSTPLUA UAC 绕过、LOLBins 执行
数据泄露威胁9/10双重勒索 + 多渠道外传
攻击速度10/1024小时完成入侵到加密
运营安全性9/10封闭运营,极低泄露/渗透风险
综合风险🔴 极高24小时攻击周期 + 集中化封闭运营 + 假日战术

十一、缓解建议

11.1 即时行动

  1. FortiGate 审计:禁止本地账户无 MFA 认证
  2. RDP 安全:强制 MFA,限制互联网暴露
  3. 监控 .safepay 扩展名:EDR 配置批量重命名检测
  4. 封锁 IOC:哈希和文件路径加入拦截列表

11.2 短期加固

  1. 社会工程防护:培训识别邮件轰炸 + Teams 冒充组合
  2. 限制远程工具:审计 ScreenConnect/Quick Assist 使用
  3. 网络分段:限制 PsExec/WinRM 跨域访问
  4. 备份验证:离线/不可变备份

11.3 长期策略

  1. 零信任架构:基于身份的微分段
  2. DLP 策略:监控 WinRAR/Rclone/FileZilla 异常使用
  3. 假日安全:假日期间加强监控和人员配置

11.4 解密恢复路径

维度详情
解密器状态无公开解密工具
加密强度AES-256-CBC + RSA-4096,密码学强度极高
建议优先从备份恢复;联系执法部门

十二、核心建议

  1. 24小时攻击周期:SafePay 从入侵到加密仅需24小时,防御者必须在数小时内检测并响应
  2. 集中化运营更难打击:非 RaaS 模式无附属机构可追踪,代码泄露和执法渗透风险极低
  3. 假日战术:12月假日期间攻击频率激增,利用 IT/安全人员减少的时机
  4. FortiGate 是首要入口:配置错误的防火墙(允许本地账户无 MFA)是常见入侵向量
  5. Ingram Micro 案例:全球最大 IT 分销商遭攻击,系统瘫痪72h+,每日损失$1.36亿——供应链级影响

十三、附录

附录 A:信息来源

编号来源日期
[1]Ransom-DB: SafePay Ransomware Analysis2026.03
[2]Picus Labs: Inside SafePay2026.02
[3]CYFIRMA: Weekly Intelligence Report2026.02
[4]Check Point: SafePay Emerging Threat2025.06
[5]ThreatLocker: SafePay IOCs and TTPs2025.07
[6]Xcitium: Safepay Family Overview2025.10
[7]Blackpoint Cyber: SafePay Threat Profile2025.09
[8]Barracuda: SafePay Email Bombs2025.07
[9]Halcyon: Q1-Q2-2025 Power Rankings2025

附录 B:术语表

术语定义
集中化运营非 RaaS 模式,单一团队控制所有操作
QDoor与 BlackSuit 关联的后门工具
CMSTPLUAWindows COM 接口,可用于 UAC 绕过
LOLBinsLiving Off the Land Binaries,合法系统工具滥用
假日战术利用假日 IT 人员减少的时机发动攻击

附录 C:追踪计划

维度说明
组织状态活跃(Frontrunner Q2-2025)
攻击频率关注单月/单日攻击峰值趋势
Conti 关联监控与 Conti 生态其他组织的关联
解密工具关注是否有公开解密工具发布