Ransomware SafePay: una minaccia emergente nel 2025
SafePay è un nuovo e sofisticato gruppo Ransomware nel 2025. Sebbene sia stato identificato solo a settembre 2024, il ransomware SafePay ha rapidamente rivendicato molte vittime, diventando uno dei primi 10 gruppi attivi nel primo trimestre del 2025.
Mostrando avanzata infiltrazione di rete e crittografia/esfiltrazione dei dati, SafePay rappresenta una minaccia significativa nel 2025.
Sebbene si sappia poco sul gruppo stesso, esperti del settore hanno analizzato attacchi precedenti per identificare le tattiche ransomware di SafePay. Comprendere i loro metodi aiuta a rilevare attacchi ransomware e a implementare protezioni che ti proteggono.
Ransomware nel 2025: un picco record
L'emergere di SafePay arriva in un momento da record per gli attacchi ransomware.
I dati del Global Cyber Attack Report del primo trimestre 2025 mostrano un aumento del 126% degli attacchi ransomware rispetto all'anno precedente. Questa ondata di ransomware nel 2025 sta avvenendo nonostante la caduta di due grandi attori l'anno precedente: LockBit e ALPHV.
Un'operazione coordinata sul diritto internazionale nel 2024 ha portato a:
- Il sequestro dei siti di fuga dati di LockBit
- Il rilascio dei dati interni del gruppo (inclusi i chiavi di decrittazione)
- L'esposizione della loro rete affiliata
Questo smantellamento delle operazioni e delle infrastrutture di LockBit ridusse drasticamente l'attività del gruppo.
La maggiore divulgazione delle comunicazioni interne ha portato a una perdita di credibilità nel settore, rendendo il gruppo Ransomware-as-a-a-service (RaaS) un'ombra di ciò che era un tempo. Alla fine del 2023, un'operazione di polizia ha interrotto le operazioni di ALPHV. Dopo una breve ripresa, il gruppo ha chiuso le attività all'inizio del 2024.
A seguito di un attacco a Change Healthcare, ALPHV:
- Trattenuto tutti i 22 milioni di dollari del riscatto
- Rifiutato di condividerlo con l'affiliato che ha lanciato l'attacco
- Falsificato un avviso di sequestro sul loro sito di fuga dati
- Annunciata la fine di ALPHV
La chiusura di questi due gruppi ha portato a una frammentazione nell'ecosistema Ransomware.
Operatori affermati (ad esempio, RansomHub, Akira) e nuovi attori, come SafePay, ora competono per colmare il vuoto e attrarre nuovi affiliati che in passato lavoravano con LockBit e ALPHV.
Chi è il gruppo Ransomware SafePay?
SafePay è un nuovo gruppo di ransomware, con la prima attività confermata che si è verificata a settembre 2024. Da allora, gli attori minacciosi di SafePay sono rapidamente diventati attori seri nel settore.
I dati del Rapporto Stato della Cybersecurity diCheck Point hanno rilevato che SafePay rappresentava il 5% delle vittime segnalate a novembre 2024. Questa attività continua a crescere nel 2025, con lo Stato di Ransomware nel primo trimestre del 2025 che ha rilevato 77 vittime dichiarate pubblicamente, rendendo SafePay la nona variante di ransomware più diffusa.
Un attacco precoce di alto profilo
Un primo attacco ransomware di alto profilo di alto profilo che ha attirato maggiore attenzione sul gruppo è stato l'attacco all'azienda britannica di telematica Microlise.
- Nell'ottobre 2024, l'azienda ha rivelato per la prima volta di essere stata vittima di un incidente informatico.
- Nel novembre 2024 sono emersi i dettagli dell'attacco, con SafePay che ha dichiarato di aver rubato 1,2 terabyte di dati, richiedendo il pagamento in meno di 24 ore.
Un gruppo di crimini informatici sfuggente
Nonostante l'aumento del ransomware SafePay nel 2025, non si sa molto sul gruppo:
- Poco si discute nei forum del dark web o nelle chat room
- Nessuna informazione pubblica sui membri o sulla posizione del gruppo
Tuttavia, SafePay fa:
- Tieni un blog sul dark web
- Utilizza The Open rete (TON) per comunicare con le vittime
- Opera un sito di leak Tor che elenca le presunte vittime passate
Somiglianze e tattiche di codice
Le indagini sugli attacchi ransomware SafePay hanno rivelato che il binario Ransomware del gruppo condivide somiglianze con una versione di LockBit della fine del 2022. Tuttavia, SafePay incorpora anche elementi utilizzati da altri gruppi di ransomware, tra cui ALPHV e INC Ransom.
Tattiche SafePay notevoli al 2025 includono:
- Tempi veloci di Crittografia
- Gli attacchi di solito passano da breach a Implementazione in meno di 24 ore
Gli attacchi ransomware SafePay sono ancora oggetto di indagine nel 2025 per valutare pienamente le capacità complessive del gruppo
Vittime di SafePay
SafePay prende di mira le vittime in una vasta gamma di settori, sia pubblico che privato.
Il loro aumento di ransomware nel 2025 si concentra su obiettivi negli Stati Uniti, nel Regno Unito e in Germania. Ci sono stati esempi di SafePay che ha lanciato ondate di attacchi, a volte 10+ al giorno, sia negli Stati Uniti che in Germania. Le statistiche del rapporto State of Ransomware Q1 2025 mostrano un alto livello di attività in Germania.
- Il 24% di tutte le vittime di ransomware segnalate in Germania nel primo trimestre del 2025 era collegato a SafePay
- Secondo la ricerca diCheck Point, questa è la percentuale più alta per un singolo gruppo di ransomware in qualsiasi paese
Questo suggerisce che SafePay punta a stabilire una presenza importante in Germania durante il 2025.
Tattiche e strategia di targeting di SafePay
SafePay ottiene l'accesso iniziale utilizzando credenziali valide che probabilmente vengono acquistate sui marketplace del dark web.
Accedono a endpoint mirati tramite queste credenziali e una VPN gateway. Si prevede inoltre che il gruppo lanci attacchi sfruttando vulnerabilità VPN note.
L'analisi delle tattiche ransomware SafePay mostra che il gruppo utilizza un metodo multi-fasi che tipicamente inizia con l'accesso tramite Remote Desktop Protocol. Gli attori minacciosi SafePay disattivano misure di sicurezza come Windows Defender usando Living Off the Land Binaries (LOLBins).
Il software di SafePay presenta un sofisticato design modulare che include funzionalità per:
- Escalation dei privilegi
- Bypass UAC
- Propagazione della rete
Altri strumenti come WinRaR ed FileZilla archiviano ed estraggono i dati.
I file criptati hanno il file . Estensione SafePay aggiunta a loro.
Nei precedenti attacchi ransomware SafePay, la nota di riscatto si trova in un file intitolato readme_SafePay.txt. Per migliorare il tasso di successo dell'attacco, le tattiche ransomware di SafePay includono:
- Disabilitazione delle opzioni di recupero
- Eliminazione delle copie ombra.
Una volta che il ransomware viene implementato, SafePay fa pressione sulle vittime affinché paghino tramite doppia estorsione.
- Criptano i dati della vittima, interrompendo le operazioni aziendali
- Esfiltrano questi dati, minacciando di renderli pubblici sul sito della fuga di notizie se il riscatto non viene pagato.
Una notevole somiglianza con le varianti del ransomware LockBit è la capacità di SafePay di indirizzare e adattarsi strategicamente basandosi su codici sorgente trapelati. Ad esempio, attacchi precedenti in Europa orientale sono stati osservati incorporare un interruttore di spegnimento in cirillico. Questo livello di sofisticazione dimostra la necessità di controlli di sicurezza avanzati e di Endpoint monitoraggio.
Difendersi dagli attacchi di SafePay Ransomware e minacce simili
Esistono indicatori specifici per le tattiche ransomware di SafePay che possono aiutarti a identificare attacchi e sviluppare nuove regole di sicurezza. Questi includono:
- Il rilevamento degli UAC bypassa che SafePay utilizza per l'escalation dei privilegi per diffondere i loro attacchi e compromettere altri sistemi dopo l'accesso iniziale.
- SafePay spesso modifica manualmente la protezione contro virus e minacce Impostazioni che la maggior parte degli utenti non toccherebbe. Questo significa che puoi identificare attacchi ransomware SafePay monitorando eventuali manipolazioni delle impostazioni di Windows Defender.
- Gli attacchi ransomware del gruppo utilizzano WinRAR per archiviare i dati prima dell'esfiltrazione. Questi comandi sono inoltre rari durante l'uso tipico di WinRAR, offrendo un potenziale meccanismo di rilevamento.
Come prevenire il RansomwareSafePay: 5 migliori pratiche
Controlli di sicurezza e migliori pratiche più generali per il ransomware che aiuteranno la tua organizzazione a prevenire attacchi SafePay Ransomware e minacce simili includono:
- Controlli di accesso rigorosi basati sul principio del privilegio minimo, in modo che gli utenti abbiano accesso solo a ciò di cui hanno bisogno. Questo limita la diffusione degli attacchi ransomware impedendo il movimento laterale verso nuovi sistemi.
- Questi Controlli di accesso dovrebbe essere supportata da forti processi di autenticazione basati su zero trust, costringendo gli utenti a dimostrare continuamente la propria identità. Una tecnica comune è l'applicazione dell'autenticazione multifattore (MFA).
- Veloce ed efficace Rilevamento e risposta agli incidenti Capacità che includono il backup dei dati su archiviazioni fisicamente separate e strategie di disaster recovery.
- Processi di gestione degli aggiornamenti che monitorano le vulnerabilità scoperte e installano automaticamente le ultime patch per la massima sicurezza.
- Implementare connessioni VPN sicure per l'accesso remoto. Ancora una volta, assicurati che la VPN offra procedure di autenticazione avanzate come la MFA.
Protezione Ransomware potenziata con Check Point
Per proteggere la tua azienda dal ransomware SafePay e da altre minacce emergenti, hai bisogno di una soluzione di protezione contro il ransomware su cui puoi contare. Check Point Endpoint Security di Check Point fornisce una Sicurezza degli Endpoint completa per rilevare attacchi ransomware e minimizzarne l'impatto.
Scopri di più su Check Point Endpoint Security leggendo il suo brief di soluzione o richiedendo una Demo.
