SafePay ランサムウェア: 2025 年の新たな脅威

SafePayは、2025年に登場した、新しく高度なランサムウェアグループです。SafePay ランサムウェアは 2024 年 9 月に特定されたばかりですが、すぐに多くの被害者を出し、2025 年第 1 四半期にはアクティブなグループのトップ 10 に入りました。

高度なネットワーク侵入とデータ暗号化/データ漏洩の能力を示すSafePayは、2025年において重大な脅威となる。

このグループ自体についてはほとんど知られていないが、業界の専門家は過去の攻撃を分析し、SafePayのランサムウェアの手口を特定した。ランサムウェア攻撃の手法を理解することは、攻撃を検知し、安全を守るための対策を講じる上で役立ちます。

Anti ransomware サイバーセキュリティレポート

2025年のランサムウェア:記録的な急増

SafePayの出現は、ランサムウェア攻撃が記録的な数に達した時期と重なっている。

2025年第1四半期の世界サイバー攻撃レポートのデータによると、ランサムウェア攻撃は前年比で126%増加している。2025年のランサムウェアの急増は、前年にLockBitとALPHVという2つの主要企業が倒産したにもかかわらず起こっている。

2024年に実施された国際法執行機関による協調行動は、以下の結果をもたらした。

  • LockBitのデータ漏洩サイトの押収
  • グループの内部データ(復号鍵を含む)の公開
  • アフィリエイトネットワークの露出

LockBitの事業運営とインフラの解体により、同グループの活動は劇的に縮小した。

内部通信のさらなる暴露は業界における信頼性の喪失につながり、ランサムウェア・アズ・ア・サービス(RaaS)グループはかつての面影を失ってしまった。2023年末、法執行機関による作戦がALPHVの活動を妨害した。短期間の回復の後、同グループは2024年初頭に事業を停止した。

Change Healthcareへの攻撃を受けて、ALPHVは:

  • 2200万ドルの身代金全額を差し控えた
  • 攻撃を仕掛けた関連会社との共有を拒否した
  • データ漏洩サイトに偽の押収通知を掲載した
  • ALPHVの終了が発表されました

これら2つのグループの活動停止は、ランサムウェアのエコシステムの分断を招いた。

既存の事業者( RansomHubAkiraなど)やSafePayのような新規参入企業が、その空白を埋め、以前LockBitやALPHVと取引していた新規アフィリエイトを獲得しようと競い合っている。

SafePay ランサムウェア グループとは何ですか?

SafePayは新しいランサムウェアグループであり、最初の活動が確認されたのは2024年9月である。それ以来、SafePayの脅威アクターは急速にこの分野で重要な存在へと成長した。

チェック・ポイントのサイバーセキュリティ状況レポートのデータによると、2024 年 11 月に報告された被害者の 5% が SafePay であったことがわかりました。 この活動は 2025 年も拡大し続け、 2025 年第 1 四半期のランサムウェアの状況報告書では、公的に主張されている 77 人の被害者を発見し、SafePay は 9 番目に蔓延しているランサムウェアの亜種となっています。

注目度の高い序盤の攻撃

このグループに大きな注目を集めた初期の注目を集めた SafePay ランサムウェア攻撃は、英国のテレマティクス ビジネスMicroliseに対する攻撃でした。

  • 2024年10月、同社は初めてサイバー攻撃の被害に遭ったことを公表した。
  • 2024年11月、この攻撃の詳細が明らかになり、SafePayは1.2テラバイトのデータを盗んだと主張し、24時間以内に支払いを要求した。

捉えどころのないサイバー犯罪グループ

2025 年に SafePay ランサムウェアが急増したにもかかわらず、このグループについてはあまり知られていません。

  • ダークウェブのフォーラムやチャットルームでは、こうした議論はほとんど見られない。
  • グループのメンバーや所在地に関する情報は一切公開されていない。

しかし、SafePayは以下を実行します。

  • ダークウェブ上でブログを運営する
  • 被害者との連絡にはオープンネットワーク(TON)を活用する。
  • Torリークサイトを運営し、過去の被害者をリストアップする

コードの類似点と戦術

SafePay ランサムウェア攻撃の調査により、このグループのランサムウェア バイナリが 2022 年後半のバージョンの LockBit と類似点を共有していることが明らかになりました。 しかし、SafePayにはALPHVやINC Ransomなどの他のランサムウェアグループが使用する要素も組み込まれています。

2025年時点での注目すべきSafePayの戦略は以下のとおりです。

  • 高速な暗号化時間
  • 通常、攻撃は 24 時間以内に侵害から攻撃に移行します。

SafePay ランサムウェア攻撃は、グループの全体的な能力を完全に評価するために 2025 年になっても調査中です。

SafePay被害者

SafePayは、公共部門と民間部門の両方を含む、幅広い業界の被害者を標的にしている。

2025年に彼らが仕掛けるランサムウェア攻撃の急増は、米国、英国、ドイツの標的に集中している。SafePayが米国とドイツの両国で、1日に10回以上もの攻撃を仕掛けた事例が報告されている。「ランサムウェアの現状 2025年第1四半期」レポートの統計によると、ドイツではランサムウェアの活動レベルが高いことが示されている。

  • 2025年第1四半期にドイツで報告されたランサムウェア被害者の24%がSafePayに関連していた。
  • チェック・ポイントの調査によると、これは単一のランサムウェア グループとしてはどの国でも最高の割合です

これは、SafePayが2025年までにドイツで大きな足場を築くことを目指していることを示唆している。

SafePayの戦術とターゲティング戦略

SafePayは、おそらくダークウェブのマーケットプレイスで購入された有効な認証情報を使用して、最初のアクセス権を取得します。

彼らはこれらの認証情報とVPNゲートウェイを介して、標的のエンドポイントにアクセスする。また、このグループは既知のVPNの脆弱性を悪用して攻撃を仕掛けると予想されている。

SafePay ランサムウェア戦術の分析によると、このグループは通常、リモート デスクトップ プロトコルを介したアクセスから始まる多段階の方法を利用していることがわかります。 SafePayの攻撃者は、Living Off the Land Binaries(LOLBins)を使用して、Windows Defenderなどのセキュリティ対策を無効化します。

SafePayのソフトウェアは、以下のような機能を備えた洗練されたモジュール設計を採用しています。

  • 特権の拡大
  • UACバイパス
  • ネットワーク伝播

WinRARやFileZillaなどの他のツールは、データをアーカイブして外部に持ち出す。 

暗号化されたファイルには、拡張子として「.SafePay」が追加されます。

以前の SafePay ランサムウェア攻撃では、身代金メモは readme_SafePay.txt という名前のファイルにありました。 攻撃の成功率を高めるため、SafePayのランサムウェア戦術には以下のものが含まれる。

  • 回復オプションを無効にする
  • シャドウコピーを削除しています。

ランサムウェアが展開されると、SafePayは二重の恐喝によって被害者に身代金を支払うよう圧力をかける。

  • 彼らは被害者のデータを暗号化し、業務を妨害する。
  • 彼らはこのデータを外部に持ち出し、身代金が支払われなければ、自分たちのリークサイトで公開すると脅迫している。

LockBitlanサムウェアの亜種との注目すべき類似点は、漏洩したソース コードに基づいて戦略的にターゲットを絞り、適応する SafePay の機能です。 例えば、東ヨーロッパで過去に発生した攻撃では、キリル文字を使ったキルスイッチが組み込まれていたことが確認されている。このレベルの高度なシステムは、高度なセキュリティ制御とエンドポイント監視の必要性を示している。

SafePay ランサムウェア攻撃および同様の脅威に対する防御

攻撃を特定し、新しいセキュリティ ルールを開発するのに役立つ、SafePay ランサムウェア戦術に固有のインジケーターがあります。 これらには以下が含まれます。

  • SafePayが権限昇格のために使用するUACバイパスを検出し、最初のアクセス後に攻撃を拡大し、より多くのシステムを侵害する。
  • SafePayはウイルス対策と脅威対策を手動で変更することがよくあります ほとんどのユーザーが触らないような設定。これは、Windows Defender 設定の操作を監視することで、SafePay ランサムウェア攻撃を特定できることを意味します。
  • このグループのランサムウェア攻撃は、WinRARを利用してデータをアーカイブしてから外部に持ち出す。これらのコマンドは通常のWinRARの使用時にはあまり使われないため、潜在的な検出メカニズムとなる可能性がある。

SafePay ランサムウェアを防ぐ方法: 5 つのベスト プラクティス

組織が SafePay ランサムウェア攻撃や同様の脅威を防ぐのに役立つ、より一般的なランサムウェアのセキュリティ制御とベスト プラクティスには、次のようなものがあります。

  1. 最小権限の原則 に基づいた 厳格なアクセス制御 により、ユーザーは必要なものにのみアクセスできるようにする。これにより、ランサムウェア攻撃が新たなシステムに横方向に拡散するのを防ぎ、攻撃の拡大を抑制します。
  2. これら アクセス制御ゼロトラストに基づく強力な認証プロセスによって裏付けられるべきであり、ユーザーには継続的に自身の身元を証明することが求められる。一般的な手法としては、多要素認証(MFA)を強制することが挙げられる。
  3. 迅速かつ効果的 インシデントの検出と対応物理的に分離されたストレージへのデータバックアップや災害復旧戦略などの機能を備えています。
  4. 新たに発見された脆弱性を監視し、最新のパッチを自動的にインストールして最大限のセキュリティを確保する管理プロセスを更新してください
  5. リモートアクセス用の安全なVPN接続を実装する。繰り返しになりますが、VPNが多要素認証(MFA)などの高度な認証手順を提供していることを確認してください。

チェック・ポイントでランサムウェア保護を強化

SafePay ランサムウェアやその他の新たな脅威からビジネスを保護するには、信頼できるランサムウェア保護ソリューションが必要です。 チェック・ポイントのCheck Point Endpoint Securityランサムウェア攻撃を検出し、その影響を最小限に抑えるための完全なエンドポイント セキュリティを提供します。

Check Point Endpoint Securityの詳細については、ソリューション概要をご覧いただくか、デモをご依頼ください

スタート

Check Point Endpoint Security

CISO のランサムウェア防止ガイド

サイバーセキュリティレポート

ランサムウェア保護

関連トピック

ランサムウェアの削除

ランサムウェアの回復

ロッカーランサムウェア

三重恐喝ランサムウェア

アキラ ランサムウェア