SafePay 랜섬웨어: 2025년의 새로운 위협

SafePay는 2025년에 등장한 새롭고 정교한 랜섬웨어 그룹입니다. 2024년 9월에야 발견되었지만 SafePay 랜섬웨어는 빠르게 많은 피해자를 발생시키며 2025년 1분기에 상위 10대 활동 그룹에 이름을 올렸습니다.

지능형 네트워크 침입과 데이터 암호화/유출을 보여주는 SafePay는 2025년에 심각한 위협이 될 것입니다.

이 그룹 자체에 대해 알려진 바는 거의 없지만, 업계 전문가들은 이전 공격을 분석하여 SafePay의 랜섬웨어 전술을 파악했습니다. 랜섬웨어의 방법을 이해하면 랜섬웨어 공격을 탐지하고 안전하게 보호할 수 있는 보호 기능을 구현하는 데 도움이 됩니다.

Anti ransomware 사이버 보안 보고서

2025년의 랜섬웨어: 기록적인 급증

SafePay의 등장은 랜섬웨어 공격이 기록적인 시기에 등장했습니다.

2025년 1분기 글로벌 사이버 공격 보고서의 데이터에 따르면 랜섬웨어 공격이 전년 대비 126%(% ) 증가한 것으로 나타났습니다. 2025년에 랜섬웨어가 급증한 것은 전년도에 두 개의 주요 업체가 무너졌음에도 불구하고 발생했습니다: 락빗과 ALPHV.

2024년 국제법 공조 작전으로 이어졌습니다:

  • LockBit의 데이터 유출 사이트 압수수색
  • 그룹의 내부 데이터(암호 해독 키 포함) 공개
  • 제휴 네트워크 노출

락빗의 운영과 인프라가 해체되면서 그룹의 활동은 급격히 줄어들었습니다.

내부 커뮤니케이션이 추가로 공개되면서 업계에서 신뢰도가 떨어졌고, 서비스형 랜섬웨어 (RaaS) 그룹은 예전의 명성을 잃었습니다. 2023년 말, 법 집행 기관의 작전으로 인해 ALPHV의 운영이 중단되었습니다. 잠시 회복한 후 2024년 초에 그룹 운영을 중단했습니다.

체인지 헬스케어에 대한 공격 이후 ALPHV:

  • 2,200만 달러의 몸값을 모두 보류했습니다.
  • 공격을 시작한 제휴사와 공유를 거부했습니다.
  • 데이터 유출 사이트에 대한 압수수색 공지를 위조한 경우
  • ALPHV 종료 발표

이 두 그룹의 폐쇄로 인해 랜섬웨어 생태계가 분열되었습니다.

기존 사업자(예: RansomHub, 아키라)와 SafePay와 같은 신규 사업자는 이제 그 간극을 메우고 이전에 LockBit 및 ALPHV와 협력했던 새로운 제휴사를 유치하기 위해 경쟁하고 있습니다.

SafePay 랜섬웨어 그룹은 누구인가요?

SafePay는 2024년 9월에 처음 활동이 확인된 새로운 랜섬웨어 그룹입니다. 그 이후로 SafePay 위협 행위자들은 이 분야에서 빠르게 심각한 플레이어가 되었습니다.

체크 포인트의 사이버 보안 현황 보고서에 따르면 2024년 11월에 보고된 피해자 중 SafePay가 5% 를 차지한 것으로 나타났습니다. 2025년 1분기 랜섬웨어 현황 보고서에 따르면 공개적으로 피해자가 77명 발견되어 SafePay가 9번째로 가장 널리 퍼진 랜섬웨어 변종으로 기록되는 등 이러한 활동은 2025년에도 계속 증가하고 있습니다.

주목받는 초기 공격

그룹에 더 큰 관심을 불러일으킨 초기의 유명한 SafePay 랜섬웨어 공격은 영국의 텔레매틱스 기업 Microlise에 대한 공격이었습니다.

  • 2024년 10월, 이 기업은 사이버 사고의 피해자임을 처음 공개했습니다.
  • 2024년 11월, 공격의 세부 사항이 밝혀졌고, SafePay는 1.2테라바이트의 데이터를 도난당했다고 주장하며 24시간 이내에 돈을 지불하라고 요구했습니다.

추적하기 어려운 사이버 범죄 그룹

2025년에 SafePay 랜섬웨어가 급증했음에도 불구하고 이 그룹에 대해 알려진 바는 많지 않습니다:

  • 다크웹 포럼이나 채팅방에는 거의 토론이 존재하지 않습니다.
  • 그룹 구성원이나 위치에 대한 공개적으로 공개된 정보 없음

하지만 SafePay는 가능합니다:

  • 다크웹에서 블로그 유지 관리
  • 오픈 네트워크(TON)를 활용하여 피해자와 소통하기
  • 과거 피해자가 주장한 토르 유출 사이트 운영

코드 유사성 및 전술

SafePay 랜섬웨어 공격에 대한 조사 결과, 이 그룹의 랜섬웨어 바이너리가 2022년 말의 LockBit 버전과 유사하다는 사실이 밝혀졌습니다. 그러나 SafePay에는 ALPHV 및 INC 랜섬을 비롯한 다른 랜섬웨어 그룹이 사용하는 요소도 포함되어 있습니다.

2025년 현재 주목할 만한 SafePay 전술은 다음과 같습니다:

  • 빠른 암호화 시간
  • 공격은 일반적으로 24시간 이내에 침해에서 배포로 이동합니다.

2025년에도 그룹의 전반적인 역량을 완전히 평가하기 위해 SafePay 랜섬웨어 공격에 대한 조사가 진행 중입니다.

SafePay 피해자

SafePay는 공공 및 민간 부문을 포함한 광범위한 산업 분야의 피해자를 대상으로 합니다.

2025년에 급증하는 랜섬웨어는 미국, 영국, 독일을 타깃으로 합니다. 미국과 독일에서 세이프페이가 하루에 10건 이상의 공격을 감행한 사례가 있습니다. 2025년 1분기 랜섬웨어 현황 보고서의 통계에 따르면 독일에서 높은 수준의 활동이 이루어지고 있습니다.

  • 24% 2025년 1분기 독일에서보고된 모든 랜섬웨어 피해자 중 SafePay와 관련된 피해자가 24%였습니다 .
  • 체크포인트의 조사에 따르면, 이는 모든 국가의 단일 랜섬웨어 그룹 중 가장 높은 비율입니다.

이는 세이프페이가 2025년에 독일에서 주요 거점을 마련하는 것을 목표로 하고 있음을 시사합니다.

SafePay의 전술 및 타겟팅 전략

SafePay는 다크웹 마켓플레이스에서 구매했을 가능성이 높은 유효한 자격 증명을 사용하여 초기 액세스 권한을 얻습니다.

이러한 자격 증명과 VPN 게이트웨이를 통해 대상 엔드포인트에 액세스합니다. 또한 이 그룹은 알려진 VPN 취약성을 악용하여 공격을 시작할 것으로 예상됩니다.

SafePay 랜섬웨어의 전술을 분석한 결과, 이 그룹은 일반적으로 원격 데스크톱 프로토콜을 통한 접속으로 시작하는 다단계 방법을 사용하는 것으로 나타났습니다. SafePay 위협 행위자는 LOLBins(Living Off the Land Binaries)를 사용하여 Windows Defender와 같은 보안 조치를 비활성화합니다.

SafePay의 소프트웨어는 다음과 같은 기능을 포함하는 정교한 모듈식 설계를 갖추고 있습니다:

  • 권한 에스컬레이션
  • UAC 바이패스
  • 네트워크 전파

WinRaR 및 FileZilla와 같은 다른 도구는 데이터를 아카이브하고 추출합니다. 

암호화된 파일에는 .SafePay 확장자가 추가됩니다.

이전의 SafePay 랜섬웨어 공격에서 랜섬 메모는 readme_SafePay.txt라는 파일에 들어 있었습니다. 공격 성공률을 높이기 위해 SafePay는 다음과 같은 랜섬웨어 전술을 사용합니다:

  • 복구 옵션 비활성화하기
  • 섀도 복사본 삭제하기.

랜섬웨어가 배포되면 SafePay는 이중 갈취를 통해 피해자에게 돈을 지불하도록 압력을 가합니다.

  • 피해자의 데이터를 암호화하여 비즈니스 운영을 방해합니다.
  • 이들은 몸값을 지불하지 않으면 유출된 데이터를 유출 사이트에 공개하겠다고 협박하며 데이터를 빼돌립니다.

유출된 소스 코드를 기반으로 전략적으로 타겟팅하고 적응하는 SafePay의 능력은 LockBit 랜섬웨어 변종과 주목할 만한 유사점입니다. 예를 들어, 동유럽에서 발생한 이전 공격에서는 키릴 문자 킬 스위치가 사용된 것으로 나타났습니다. 이러한 수준의 정교함은 고급 보안 제어 및 엔드포인트 모니터링의 필요성을 보여줍니다.

SafePay 랜섬웨어 공격 및 유사한 위협에 대한 방어

공격을 식별하고 새로운 보안 규칙을 개발하는 데 도움이 될 수 있는 SafePay 랜섬웨어 전술에 특화된 지표가 있습니다. 여기에는 다음이 포함됩니다:

  • SafePay가 권한 상승을 위해 사용하는 UAC 우회를 탐지하여 초기 액세스 후 공격을 확산하고 더 많은 시스템을 손상시킵니다.
  • SafePay는 종종 바이러스 및 위협 방지 기능을 수동으로 변경합니다. 대부분의 사용자가 건드리지 않는 설정입니다. 즉, Windows Defender 설정의 모든 조작을 모니터링하여 SafePay 랜섬웨어 공격을 식별할 수 있습니다.
  • 이 그룹의 랜섬웨어 공격은 데이터를 유출하기 전에 WinRAR을 사용하여 데이터를 보관합니다. 이러한 명령은 일반적인 WinRAR 사용 시에는 흔하지 않으므로 잠재적인 탐지 메커니즘을 제공합니다.

SafePay 랜섬웨어를 예방하는 방법: 5가지 모범 사례

조직에서 SafePay 랜섬웨어 공격 및 유사한 위협을 방지하는 데 도움이 되는 보다 일반적인 랜섬웨어 보안 제어 및 모범 사례는 다음과 같습니다:

  1. 최소 권한 원칙에 따라 엄격한 액세스 제어를 통해 사용자가 필요한 항목에만 액세스할 수 있도록 합니다. 이렇게 하면 새로운 시스템으로의 측면 이동을 방지하여 랜섬웨어 공격의 확산을 제한할 수 있습니다.
  2. 이러한 액세스 제어는 제로 트러스트 기반의 강력한 인증 프로세스로 뒷받침되어 사용자가 지속적으로 자신의 신원을 증명할 수 있어야 합니다. 일반적인 기법은 다중 인증(MFA)을 적용하는 것입니다.
  3. 빠르고 효과적인 인시던트 탐지 및 대응물리적으로 분리된 스토리지에 데이터를 백업하는 기능 및 재해 복구 전략을 포함합니다.
  4. 새로 발견된 취약점을 모니터링하고 최신 패치를 자동으로 설치하여 보안을 극대화하는 관리 프로세스를 업데이트하세요.
  5. 원격 액세스를 위한 보안 VPN 연결 구현. 다시 말하지만, VPN이 MFA와 같은 향상된 인증 절차를 제공하는지 확인하세요.

체크 포인트를 통한 랜섬웨어 보호 강화

SafePay 랜섬웨어 및 기타 새로운 위협으로부터 비즈니스를 보호하려면 신뢰할 수 있는 랜섬웨어 보호 솔루션이 필요합니다. Check Point Endpoint Security 는 랜섬웨어 공격을 탐지하고 그 영향을 최소화하는 완벽한 엔드포인트 보안을 제공합니다.

솔루션 개요를 읽거나 데모를 요청하여 Check Point Endpoint Security 에 대해 자세히 알아보세요.

시작하기

체크 포인트 엔드포인트 보안

랜섬웨어 예방을 위한 CISO 가이드

사이버 보안 보고서

랜섬웨어 차단

관련 항목

랜섬웨어 제거

랜섬웨어 복구

락커 랜섬웨어

삼중 갈취 랜섬웨어

아키라 랜섬웨어