SafePay勒索软件：您需要了解的内容

什么是SafePay勒索软件？

SafePay是一种相对较新的勒索软件威胁，首次发现于2024年9月左右。与其他勒索软件类似，SafePay会加密受害者的文件使其无法访问，然后要求支付加密货币赎金以恢复文件。作为“双重勒索”策略的一部分，SafePay背后的黑客还会从受影响的组织中窃取数据，并威胁如果未支付赎金，将在其暗网泄露站点上公开这些数据。

SafePay的独特之处

大多数现代勒索软件团伙采用勒索软件即服务（RaaS）模式，允许附属机构部署勒索软件以换取他们成功勒索的一部分收益。然而，SafePay并非如此运作。相反，它似乎不向附属机构提供自身，而是由同一团队自行开发和部署勒索软件，而非依赖他人。

实际上，SafePay暗网泄露站点上的横幅声明：

SAFEPAY RANSOMWARE HAS NEVER PROVIDED AND DOES NOT PROVIDE THE RAAS

为什么SafePay不采用RaaS模式？

虽然SafePay可能放弃了附属收入，但这样做提供了更好的操作安全性和对其勒索软件使用方式的更严格控制。

SafePay为何成为新闻焦点？

NCC集团安全专家发布的最新威胁报告显示，SafePay是目前最活跃的勒索软件组织。仅在2025年5月，就有70起勒索软件攻击与SafePay有关，占总数的18%。这是SafePay首次出现在NCC集团十大威胁行为者名单中，表明该勒索软件组织的活动有所增加。

SafePay为何如此迅速成功？

这个问题的答案尚不清楚，但怀疑SafePay可能与其他臭名昭著的勒索软件组织密切相关，包括LockBit、BlackCat和INC Ransomware。换句话说，SafePay背后的人可能并非新手。

哪些公司受到了SafePay的攻击？

英国远程信息处理业务公司Microlise（为DHL和Serco等公司提供车辆跟踪服务）透露，其在2024年10月遭受了勒索软件攻击，是SafePay在窃取1.2TB数据后的首批公开受害者之一。其他受害者包括北卡罗来纳州的一家解剖病理学实验室，该实验室在2025年1月遭到入侵，攻击中窃取了超过20万名患者的信息，包括姓名、出生日期、地址、健康保险详细信息和医疗数据。

是否有人能免受SafePay勒索软件的攻击？

实际上，是的，有些人可以。SafePay勒索软件被编程为检查其运行计算机的语言设置，如果发现系统运行以下任何语言，它会立即停止运行而不会造成任何损害：

• 亚美尼亚语
• 阿塞拜疆语（西里尔文）
• 白俄罗斯语
• 格鲁吉亚语
• 哈萨克语
• 俄语
• 乌克兰语

如果系统语言匹配任何指定语言，恶意软件将立即终止。

为什么勒索软件要这样做？

有两个直接原因：一是勒索软件不希望将俄罗斯公司等作为意外受害者，以免当地执法机构追查；二是勒索软件作者自己可能运行配置为使用这些语言的计算机，他们显然不希望自己成为SafePay的意外受害者。

如何保护企业免受SafePay勒索软件的攻击？

SafePay以使用被盗的VPN或RDP凭证闯入组织而闻名。尚未有报道称其使用许多其他勒索软件攻击中常见的钓鱼技术。因此，担心可能成为目标的组织应明智地在所有远程访问点强制执行多因素认证，完全禁用未使用的RDP或VPN访问，并在可能的情况下使用IP允许列表或地理围栏。

此外，我们建议所有公司遵循我们防御勒索软件攻击的一般建议，包括：

• 制作安全的异地备份。
• 运行最新的安全解决方案，并确保计算机受到最新安全补丁的保护，以防范漏洞。
• 使用难以破解的独特密码保护敏感数据和账户，并启用多因素认证。
• 尽可能加密敏感数据。
• 通过禁用公司不需要的功能来减少攻击面。
• 教育并告知员工有关网络犯罪分子发起攻击和窃取数据的风险和方法。