اكتشف خبراء الأمن السيبراني الدفع الآمن، وهي سلالة من برامج الفدية تم تحديدها حديثًا وتثير الإنذارات في القطاع المالي. من خلال الاستفادة من أساليب الهجوم الخفية والمتقدمة، تشكل هذه البرامج الضارة خطرًا كبيرًا على معالجات الدفع والبنوك. يجب على هذه المنظمات، المكلفة بحماية البيانات المالية الحساسة، أن تستعد للإمكانات التخريبية لقدرات SafePay المتطورة.
ما هي خدمة SafePay؟
الدفع الآمن هي سلالة ناشئة من برامج الفدية يعتقد أنها مشتقة من شفرة مصدر LockBit المسربة. تتضمن سماتها المميزة مذكرة فدية بعنوان readme_safepay.txt وامتدادات الملفات المشفرة المسماة . الدفع الآمن. يشير المحللون إلى أوجه التشابه الغريبة مع LockBit، لكن نهج SafePay المحسن يجعله وحشًا جديدًا في مشهد برامج الفدية.
التكتيكات الرئيسية في هجمات SafePay
1. نموذج الهجوم ثنائي الطور
• جمع البيانات والاستخراج: يستخدم المهاجمون أدوات مثل WinRAR لضغط البيانات الحساسة وFileZilla لاستخراقها واستهداف نقاط نهاية متعددة في وقت واحد. في محاولة لتجنب الاكتشاف، يتم إلغاء تثبيت هذه الأدوات فورًا بعد الاستخدام.
• نشر التشفير: باستخدام بيانات الاعتماد المسروقة وبروتوكول سطح المكتب البعيد (RDP)، يقوم المهاجمون بنشر نصوص PowerShell التي تنفذ برامج الفدية. تعمل الأوامر على تعطيل النسخ الاحتياطية وتغيير تكوينات التشغيل، مما يضمن أن استعادة البيانات تصبح شبه مستحيلة.
2. تقنيات برامج الفدية المتقدمة
• تجاوز UAC وتصاعد الامتيازات: تقوم SafePay بالتحايل على التحكم في حساب المستخدم (UAC) عبر معالجة كائنات COM، والحصول على وصول مرتفع إلى الأنظمة.
• ميزات مكافحة التحليل: تساعد تقنيات مثل تشويش السلسلة وإنشاء مؤشر ترابط مخصص على تجنب الاكتشاف وتحسين أداء التشفير.
• مفتاح القتل القائم على اللغة: تم تخطي الآلات التي تستخدم لغات النظام السيريلي، مما يشير إلى أن أوروبا الشرقية قد لا تكون الهدف المقصود.
• منصات التسرب والتعرض العام: يتم الكشف عن بيانات الضحايا من خلال منصات على شبكة Tor والشبكة المفتوحة (TON). كشفت نقاط الضعف في الواجهة الخلفية لـ SafePay أيضًا عن تفاصيل تشغيلية، وهي لمحة نادرة عن البنية التحتية للمهاجمين.
لماذا يجب أن يشعر معالجو الدفع والبنوك بالقلق
تعد المؤسسات المالية هدفًا مربحًا لمجموعات برامج الفدية نظرًا للطبيعة الحرجة لخدماتها وحجم البيانات الحساسة التي تتعامل معها. تشكل قدرة SafePay على الجمع بين التسلل والتشفير تهديدًا مزدوجًا لاستمرارية التشغيل وسرية البيانات.
المخاطر الرئيسية:
• اضطراب تشغيلي: يمكن أن تؤدي الملفات المشفرة أو عمليات اختراق الشبكة إلى إيقاف معالجة الدفع ومعاملات العملاء.
• خروقات البيانات: يمكن بيع السجلات المالية المسروقة ومعلومات العملاء أو تسريبها، مما يضر بالسمعة والثقة.
• التأثير المالي: يمكن أن تكون تكاليف مدفوعات الفدية والعلاج والعقوبات التنظيمية مدمرة.
كيفية الحماية ضد SafePay
1. تعزيز أمان نقطة النهاية
قم بنشر أدوات اكتشاف نقطة النهاية والاستجابة (EDR) لتحديد الأنشطة غير العادية، مثل الاستخدام غير المصرح به للبرامج أو أرشفة البيانات.
2. إدارة الاعتماد
قم بفرض كلمات مرور قوية وتنفيذ المصادقة متعددة العوامل (MFA) عبر جميع الحسابات لمنع الوصول غير المصرح به.
3. تجزئة الشبكة
افصل الأنظمة الحساسة عن نقاط النهاية التي يمكن للمستخدم الوصول إليها للحد من الحركة الجانبية أثناء الاختراق.
4. النسخ الاحتياطية العادية
احتفظ بنسخ احتياطية مشفرة وغير متصلة بالإنترنت واختبر عمليات التعافي من الكوارث لضمان التعافي السريع من محاولات التشفير.
كيف يمكن لمقدمي خدمات MSP منع هجمات SafePay
يمكن أن يؤدي إشراك موفر خدمات الأمان المُدارة (MSSP) إلى توفير المراقبة على مستوى الخبراء والاستجابة للحوادث على مدار الساعة طوال أيام الأسبوع.
• مراقبة بيانات الاعتماد: اكتشف بيانات الاعتماد المخترقة قبل أن يستغلها المهاجمون.
• التحليل السلوكي: تحديد الأنماط غير العادية، مثل الاستخدام المفرط للامتيازات الإدارية أو عمليات نقل الملفات المشبوهة.
• معلومات التهديدات الاستباقية: ابق في طليعة اتجاهات برامج الفدية وقم بتنفيذ الدفاعات ضد التهديدات الناشئة.
.png)
.png)