SafePay RANSOMWARE: Eine neue Bedrohung im Jahr 2025

SafePay ist eine neue und ausgeklügelte Ransomware-Gruppe im Jahr 2025. Obwohl SafePay Ransomware erst im September 2024 identifiziert wurde, forderte sie schnell viele Opfer und gehörte im ersten Quartal 2025 zu den zehn aktivsten Gruppen.

Aufgrund der fortgeschrittenen Netzwerkinfiltration und Datenverschlüsselung/-exfiltration stellt SafePay im Jahr 2025 eine erhebliche Bedrohung dar.

Obwohl über die Gruppe selbst wenig bekannt ist, haben Branchenexperten frühere Angriffe analysiert, um die Ransomware-Taktiken von SafePay zu identifizieren. Das Verständnis ihrer Methoden hilft dabei , RANSOMWARE-Angriffe zu erkennen und Schutzmaßnahmen zu implementieren, die Sie schützen.

Anti ransomware Cybersicherheitsbericht

Ransomware im Jahr 2025: Ein rekordverdächtiger Anstieg

Das Aufkommen von SafePay erfolgt zu einer Zeit, in der Ransomware-Angriffe Rekordwerte erreichen.

Daten aus dem globalen Cyber-Angriff-Bericht für das erste Quartal 2025 zeigen einen Anstieg der Ransomware-Angriffe um 126 % im Vergleich zum Vorjahr. Dieser Anstieg von Ransomware-Angriffen im Jahr 2025 findet trotz des Zusammenbruchs zweier wichtiger Akteure im Vorjahr statt: LockBit und ALPHV.

Eine koordinierte internationale Rechtsoperation im Jahr 2024 führte zu Folgendem:

  • Die Beschlagnahmung der Datenleck-Websites von LockBit
  • Die Veröffentlichung der internen Daten der Gruppe (einschließlich der Entschlüsselungsschlüssel)
  • Die Offenlegung ihres Partnernetzwerks

Durch die Auflösung der Geschäftstätigkeit und Infrastruktur von LockBit wurde die Aktivität der Gruppe drastisch reduziert.

Die weitere Offenlegung interner Kommunikation führte zu einem Verlust an Glaubwürdigkeit in der Branche und ließ die RANSOMWARE-as-a-service (RaaS)-Gruppe zu einem Schatten ihrer selbst werden. Ende 2023 kam es durch eine polizeiliche Operation zu Störungen im Betrieb von ALPHV. Nach einer kurzen Erholungsphase stellte die Gruppe Anfang 2024 den Betrieb ein.

Nach einem Angriff auf Change Healthcare, ALPHV:

  • Die gesamten 22 Millionen Dollar Lösegeld wurden einbehalten
  • Er weigerte sich, die Information an das verbundene Unternehmen weiterzugeben, das den Angriff gestartet hatte.
  • Sie haben auf ihrer Datenleck-Website eine Beschlagnahmebenachrichtigung gefälscht.
  • Das Ende von ALPHV wurde bekanntgegeben.

Die Zerschlagung dieser beiden Gruppen hat zu einer Fragmentierung des Ransomware-Ökosystems geführt.

Etablierte Anbieter (z. B. RansomHub, Akira) und neue Akteure wie SafePay konkurrieren nun darum, die Lücke zu füllen und neue Partner zu gewinnen, die zuvor mit LockBit und ALPHV zusammengearbeitet haben.

Wer ist die SafePay-Ransomware-Gruppe?

SafePay ist eine neue Ransomware-Gruppe, deren erste bestätigte Aktivität im September 2024 stattfand. Seitdem haben sich die Akteure, die SafePay als Bedrohung darstellen, schnell zu ernstzunehmenden Akteuren in diesem Bereich entwickelt.

Laut Daten aus dem „State of Cybersecurity Report“ von Check Point war SafePay im November 2024 für 5 % der gemeldeten Opfer verantwortlich. Diese Aktivität nimmt auch im Jahr 2025 weiter zu.Im Bericht „State of RANSOMWARE in the First Quarter of 2025“ wurden 77 öffentlich bekannte Opfer gefunden, womit SafePay zur neunthäufigsten RANSOMWARE-Variante avancierte.

Ein hochkarätiger Frühangriff

Ein früher, aufsehenerregender SafePay-Ransomware-Angriff, der der Gruppe größere Aufmerksamkeit verschaffte, war der Angriff auf das britische Telematikunternehmen Microlise.

  • Im Oktober 2024 gab das Unternehmen erstmals bekannt, Opfer eines Cyberangriffs geworden zu sein.
  • Im November 2024 wurden Einzelheiten des Angriffs bekannt. SafePay behauptete, 1,2 Terabyte an Daten gestohlen zu haben und forderte die Zahlung innerhalb von weniger als 24 Stunden.

Eine schwer fassbare Cyberkriminalitätsgruppe

Trotz des erwarteten Anstiegs der SafePay-Ransomware im Jahr 2025 ist über die Gruppe nur wenig bekannt:

  • In Darknet-Foren oder Chaträumen findet kaum Diskussion statt.
  • Es gibt keine öffentlich zugänglichen Informationen über die Mitglieder oder den Standort der Gruppe.

SafePay hingegen schon:

  • Führe einen Blog im Darknet
  • Nutzen Sie das offene Netzwerk (TON), um mit Opfern zu kommunizieren.
  • Betreiben Sie eine Website mit Tor-Leaks, auf der mutmaßliche frühere Opfer aufgelistet sind.

Ähnlichkeiten und Taktiken im Code

Untersuchungen zu SafePay-Ransomware-Angriffen haben ergeben, dass die Ransomware-Binärdatei der Gruppe Ähnlichkeiten mit einer Version von LockBit aus dem späten Jahr 2022 aufweist. SafePay enthält jedoch auch Elemente, die von anderen Ransomware-Gruppen, darunter ALPHV und INC Ransom, verwendet werden.

Zu den bemerkenswerten SafePay-Taktiken ab 2025 gehören:

  • Schnelle Verschlüsselungszeiten
  • Angriffe vollziehen sich typischerweise innerhalb von weniger als 24 Stunden vom Eindringen in die Infrastruktur bis zur Bereitstellung der Infrastruktur.

Die SafePay-Ransomware-Angriffe werden auch 2025 noch untersucht, um die Gesamtfähigkeiten der Gruppe vollständig zu bewerten.

SafePay-Opfer

SafePay zielt auf Opfer in einer Vielzahl von Branchen ab, darunter sowohl der öffentliche als auch der private Sektor.

Ihre Ransomware-Welle im Jahr 2025 konzentriert sich auf Ziele in den USA, Großbritannien und Deutschland. Es gab Fälle, in denen SafePay Wellen von Angriffen gestartet hat, manchmal mehr als zehn pro Tag, sowohl in den USA als auch in Deutschland. Statistiken aus dem Bericht „State of RANSOMWARE Q1 2025“ zeigen ein hohes Aktivitätsniveau in Deutschland.

  • 24 % aller gemeldeten Ransomware- Opfer in Deutschland im ersten Quartal 2025 waren mit SafePay verbunden.
  • Laut Recherchen vonCheck Point handelt es sich dabei um den höchsten Prozentsatz für eine einzelne Ransomware-Gruppe in einem Land.

Dies lässt darauf schließen, dass SafePay anstrebt, im Laufe des Jahres 2025 in Deutschland eine bedeutende Marktpräsenz aufzubauen.

Taktiken und Targeting-Strategie von SafePay

SafePay verschafft sich den ersten Zugriff mit gültigen Zugangsdaten, die höchstwahrscheinlich auf Darknet-Marktplätzen erworben wurden.

Sie greifen über diese Zugangsdaten und ein VPN Gateway auf die Zielziele zu . Es wird außerdem erwartet, dass die Gruppe Angriffe durch Ausnutzung bekannter VPN Schwachstellen durchführt.

Eine Analyse der Ransomware-Taktiken von SafePay zeigt, dass die Gruppe eine mehrstufige Methode anwendet, die typischerweise mit dem Zugriff über das Remote Desktop Protocol beginnt. Die Bedrohungsakteure von SafePay deaktivieren Sicherheitsmaßnahmen wie Windows Defender mithilfe von Living Off the Land Binaries (LOLBins).

Die Software von SafePay verfügt über ein ausgeklügeltes modulares Design mit folgenden Funktionen:

  • Rechteausweitung
  • UAC-Umgehung
  • Netzwerkausbreitung

Andere Tools wie WinRAR und FileZilla archivieren und exfiltrieren die Daten. 

Verschlüsselten Dateien wird die Dateiendung .SafePay hinzugefügt.

Bei früheren SafePay-Ransomware-Angriffen befand sich die Lösegeldforderung in einer Datei mit dem Namen readme_SafePay.txt. Um die Erfolgsquote des Angriffs zu erhöhen, setzt SafePay bei seiner Ransomware-Strategie unter anderem folgende Taktiken ein:

  • Wiederherstellungsoptionen deaktivieren
  • Löschen von Schattenkopien.

Sobald die Ransomware eingesetzt ist, setzt SafePay die Opfer durch doppelte Erpressung unter Druck, zu zahlen.

  • Sie verschlüsseln die Daten des Opfers und stören so den Geschäftsbetrieb.
  • Sie stehlen diese Daten und drohen damit, sie auf ihrer Leak-Website öffentlich zu machen, falls das Lösegeld nicht gezahlt wird.

Eine bemerkenswerte Ähnlichkeit zu LockBit- Ransomware- Varianten besteht in der Fähigkeit von SafePay, strategisch vorzugehen und sich auf Basis durchgesickerter Quellcodes anzupassen. Beispielsweise wurde bei früheren Angriffen in Osteuropa ein kyrillischer Not-Aus-Schalter verwendet. Dieser hohe Grad an Raffinesse verdeutlicht die Notwendigkeit fortschrittlicher Sicherheitskontrollen und der Überwachung des Endgeräts.

Abwehr von SafePay-Ransomware-Angriffen und ähnlichen Bedrohungen

Es gibt spezifische Indikatoren für die Ransomware-Taktiken von SafePay, die Ihnen helfen können, Angriffe zu erkennen und neue Sicherheitsregeln zu entwickeln. Dazu gehören:

  • Erkennung von UAC-Umgehungen, die SafePay zur Rechteausweitung nutzt , um seine Angriffe auszuweiten und nach dem ersten Zugriff weitere Systeme zu kompromittieren.
  • SafePay ändert den Viren- und Bedrohungsschutz häufig manuell. Einstellungen , die die meisten Benutzer nicht anfassen würden. Das bedeutet, dass Sie SafePay-Ransomware-Angriffe erkennen können, indem Sie jegliche Manipulationen der Windows Defender-Einstellungen überwachen.
  • Die Ransomware-Angriffe der Gruppe nutzen WinRAR, um Daten vor der Exfiltration zu archivieren. Diese Befehle sind auch bei der typischen Verwendung von WinRAR ungewöhnlich und bieten somit einen potenziellen Erkennungsmechanismus.

So verhindern Sie SafePay-Ransomware: 5 bewährte Methoden

Zu den allgemeineren Sicherheitsmaßnahmen und bewährten Vorgehensweisen gegen Ransomware, die Ihrem Unternehmen helfen, SafePay-Ransomware-Angriffe und ähnliche Bedrohungen zu verhindern, gehören:

  1. Strenge Zugriffskontrollen basierend auf dem Prinzip der minimalen Berechtigungen, sodass Benutzer nur Zugriff auf das haben, was sie benötigen. Dies begrenzt die Verbreitung von Ransomware-Angriffen, indem eine seitliche Ausbreitung in neue Systeme verhindert wird.
  2. Diese Zugriffskontrollen Dies sollte durch starke Authentifizierungsprozesse auf Basis von Zero Trust unterstützt werden , die die Benutzer dazu zwingen, ihre Identität ständig nachzuweisen. Eine gängige Technik ist die Durchsetzung der Mehrstufigen Authentifizierung (MFA).
  3. Schnell und effektiv Vorfallerkennung und -reaktionZu den Funktionen gehören die Datensicherung auf physisch getrennten Speichern und Strategien zur Notfallwiederherstellung.
  4. Aktualisierung der Managementprozesse, die nach neu entdeckten Schwachstellen suchen und automatisch die neuesten Patches installieren, um maximale Sicherheit zu gewährleisten.
  5. Implementierung sicherer VPN-Verbindungen für den Fernzugriff. Stellen Sie außerdem sicher, dass das VPN erweiterte Authentifizierungsverfahren wie MFA bietet.

Verbesserter Ransomware-Schutz mit Check Point

Um Ihr Unternehmen vor SafePay Ransomware und anderen neuen Bedrohungen zu schützen, benötigen Sie eine Ransomware-Schutzlösung, auf die Sie sich verlassen können. Check Point Endpoint Security von Check Point bietet umfassende Endgerätesicherheit zur Erkennung von RANSOMWARE-Angriffen und zur Minimierung ihrer Auswirkungen.

Erfahren Sie mehr über Check Point Endpoint Security, indem Sie die Lösungsbeschreibung lesen oder eine Demo anfordern.

Loslegen

Check Point Endpoint Security

Der CISO-Leitfaden zur Ransomware-Prävention

Cybersicherheitsbericht

Schutz vor Ransomware

Verwandte Themen

Beseitigung von Ransomware

Ransomware-Wiederherstellung

Locker-Ransomware

Dreifache Erpressung Ransomware

Akira Ransomware