Ransomware SafePay: uma ameaça emergente em 2025
SafePay é um novo e sofisticado grupo de ransomware de 2025. Embora tenha sido identificado apenas em setembro de 2024, o ransomware SafePay rapidamente fez muitas vítimas, tornando-se um dos 10 grupos mais ativos no primeiro trimestre de 2025.
Apresentando infiltração de rede avançada e exfiltração/exfiltração de dados, o SafePay representa uma ameaça significativa em 2025.
Embora pouco se saiba sobre o próprio grupo, especialistas do setor analisaram ataques anteriores para identificar as táticas de ransomware do SafePay. Compreender os seus métodos ajuda a detetar ataques de ransomware e a implementar proteções que o mantêm em segurança.
Ransomware em 2025: um aumento recorde
O surgimento do SafePay ocorre em um momento recorde para ataques de ransomware.
Os dados do Relatório Global de Ciberataques do 1º trimestre de 2025 mostram um aumento de 126% nos ataques ransomware em comparação com o ano anterior. Essa onda de ransomware em 2025 está acontecendo apesar da queda de dois grandes operadores no ano anterior: LockBit e ALPHV.
Uma operação coordenada de direito internacional em 2024 resultou em:
- Apreensão dos sites de vazamento de dados da LockBit
- A divulgação dos dados internos do grupo (incluindo as chaves de descriptografia)
- A exposição de sua rede de afiliados
O desmantelamento das operações e da infraestrutura da LockBit reduziu drasticamente a atividade do grupo.
A divulgação adicional de comunicações internas levou a uma perda de credibilidade no setor, tornando o grupo de ransomware como serviço (RaaS) uma sombra do que era antes. No final de 2023, uma operação policial interrompeu as operações da ALPHV. Após uma breve recuperação, o grupo encerrou suas operações no início de 2024.
Após um ataque à Change Healthcare, a ALPHV:
- Retiveram a totalidade do resgate de 22 milhões de dólares.
- Recusou-se a compartilhar com a afiliada que lançou o ataque.
- Falsificaram um aviso de apreensão em seu site de vazamento de dados.
- Anunciou o fim do ALPHV.
O encerramento dessas duas organizações levou à fragmentação do ecossistema de ransomware.
Operadoras já estabelecidas (como RansomHub e Akira) e novos participantes, como a SafePay, estão agora competindo para preencher a lacuna e atrair novos afiliados que antes trabalhavam com a LockBit e a ALPHV.
Quem é o grupo por trás do ransomware SafePay?
SafePay é um novo grupo de ransomware, cuja primeira atividade confirmada ocorreu em setembro de 2024. Desde então, os agentes que ameaçam o SafePay rapidamente se tornaram atores importantes nesse cenário.
Dados do Relatório sobre o Estado da Segurança Cibernética da Check Point revelaram que a SafePay foi responsável por 5% das vítimas relatadas em novembro de 2024. Essa atividade continua a crescer em 2025, com o relatório "State of ransomware in the First Quarter of 2025" apontando 77 vítimas declaradas publicamente, tornando o SafePay a 9ª ransomware variante mais prevalente.
Um ataque inicial de alto nível
Um dos primeiros ataques de ransomware de grande repercussão do SafePay, que trouxe maior atenção ao grupo, foi o ataque à empresa britânica de telemática Microlise.
- Em outubro de 2024, a empresa revelou pela primeira vez ter sido vítima de um incidente cibernético.
- Em novembro de 2024, detalhes do ataque vieram à tona, com a SafePay alegando ter roubado 1,2 terabytes de dados e exigindo pagamento em menos de 24 horas.
Um grupo de cibercriminosos esquivo
Apesar do aumento dos ataques de ransomware SafePay em 2025, pouco se sabe sobre o grupo:
- Há pouca discussão sobre isso em fóruns ou salas de bate-papo da dark web.
- Não há informações divulgadas publicamente sobre os membros ou a localização do grupo.
No entanto, a SafePay faz o seguinte:
- Mantenha um blog na dark web.
- Utilize a Rede Aberta (TON) para se comunicar com as vítimas.
- Operar um site de vazamento de dados na rede Tor, listando supostas vítimas anteriores.
Similaridades e táticas de código
Investigações sobre os ataques de ransomware do grupo SafePay revelaram que o binário do ransomware apresenta semelhanças com uma versão do LockBit do final de 2022. No entanto, o SafePay também incorpora elementos usados por outros grupos de ransomware, incluindo ALPHV e INC Ransom.
Táticas notáveis da SafePay a partir de 2025 incluem:
- Tempos de criptografia rápidos
- Os ataques normalmente passam da violação à implantação em menos de 24 horas.
Os ataques de ransomware SafePay ainda estão sob investigação em 2025 para avaliar completamente as capacidades gerais do grupo.
Vítimas do SafePay
A SafePay tem como alvo vítimas em uma ampla gama de setores, incluindo os setores público e privado.
A ofensiva de ransomware em 2025 concentra-se em alvos nos EUA, no Reino Unido e na Alemanha. Houve exemplos de ataques lançados pela SafePay em ondas, às vezes mais de 10 por dia, tanto nos EUA quanto na Alemanha. Estatísticas do relatório "Estado do ransomware no primeiro trimestre de 2025" mostram um alto nível de atividade na Alemanha.
- 24% de todas as vítimas de ransomware relatadas na Alemanha no primeiro trimestre de 2025 estavam ligadas ao SafePay.
- De acordo com a pesquisa da Check Point, essa é a maior porcentagem para um único grupo de ransomware em qualquer país.
Isso sugere que a SafePay pretende estabelecer uma presença significativa na Alemanha durante o ano de 2025.
Táticas e estratégia de segmentação da SafePay
A SafePay obtém acesso inicial usando credenciais válidas que provavelmente são compradas em mercados da dark web.
Eles acessam o endpoint alvo por meio dessas credenciais e de um gateway VPN . Espera-se também que o grupo lance ataques explorando vulnerabilidades conhecidas VPN .
A análise das táticas do ransomware SafePay mostra que o grupo utiliza um método de várias etapas que normalmente começa com o acesso via Protocolo de Área de Trabalho Remota (RDP). Os agentes de ameaças do SafePay desativam medidas de segurança como o Windows Defender usando binários do tipo "Living Off the Land" (LOLBins).
O software da SafePay possui um design modular sofisticado que inclui recursos para:
- Escalada de privilégios
- Desvio do UAC
- Propagação em rede
Outras ferramentas como WinRaR e FileZilla arquivam e extraem os dados.
Os arquivos criptografados recebem a extensão .SafePay.
Em ataques anteriores do ransomware SafePay, a nota de resgate estava em um arquivo intitulado readme_SafePay.txt. Para aumentar a taxa de sucesso do ataque, as táticas de ransomware da SafePay incluem:
- Desativar opções de recuperação
- Excluindo cópias de sombra.
Após a instalação do ransomware, o SafePay pressiona as vítimas a pagarem o resgate por meio de dupla extorsão.
- Eles criptografam os dados da vítima, interrompendo as operações comerciais.
- Eles extraem esses dados, ameaçando divulgá-los publicamente em seu site de vazamentos caso o resgate não seja pago.
Uma semelhança notável entre as variantes do ransomware LockBit e o SafePay é sua capacidade de direcionar ataques estrategicamente e se adaptar com base em códigos-fonte vazados. Por exemplo, ataques anteriores na Europa Oriental demonstraram incorporar um mecanismo de desativação com código cirílico. Esse nível de sofisticação demonstra a necessidade de controles de segurança avançados e monitoramento endpoint .
Defesa contra ataques de ransomware SafePay e ameaças semelhantes
Existem indicadores específicos das táticas do ransomware SafePay que podem ajudar a identificar ataques e desenvolver novas regras de segurança. Isso inclui:
- Detecção de mecanismos de bypass do UAC que o SafePay utiliza para escalonamento de privilégios , visando disseminar seus ataques e comprometer mais sistemas após o acesso inicial.
- A SafePay costuma alterar manualmente a proteção contra vírus e ameaças. Configurações que a maioria dos usuários não alteraria. Isso significa que você pode identificar ataques de ransomware SafePay monitorando quaisquer manipulações nas configurações do Windows Defender.
- Os ataques de ransomware do grupo utilizam o WinRAR para arquivar dados antes da exfiltração. Esses comandos também são incomuns durante o uso típico do WinRAR, oferecendo um mecanismo potencial de detecção.
Como prevenir o ransomware SafePay: 5 boas práticas
Outras práticas recomendadas e controles de segurança mais gerais para ransomware que ajudarão sua organização a prevenir ataques do ransomware SafePay e ameaças semelhantes incluem:
- Controles de acesso rigorosos baseados no princípio do menor privilégio, de forma que os usuários tenham acesso apenas ao que precisam. Isso limita a propagação de ataques de ransomware, impedindo a movimentação lateral para novos sistemas.
- Esses controles de acesso deve ser respaldado por processos de autenticação robustos baseados no princípio de confiança zero, obrigando os usuários a comprovarem continuamente sua identidade. Uma técnica comum é impor Autenticação multifatorial (MFA).
- Rápido e eficaz detecção e resposta a incidentes funcionalidades que incluem backup de dados em armazenamento fisicamente separado e estratégias de recuperação de desastres.
- Processos de gerenciamento de atualizações que monitoram vulnerabilidades recém-descobertas e instalam automaticamente as correções mais recentes para máxima segurança.
- Implementando conexões VPN seguras para acesso remoto. Novamente, certifique-se de que a VPN ofereça procedimentos de autenticação aprimorados, como a autenticação multifator (MFA).
Proteção aprimorada contra ransomware com a Check Point.
Para proteger sua empresa contra o ransomware SafePay e outras ameaças emergentes, você precisa de uma solução de proteção contra ransomware na qual possa confiar. Check Point Endpoint Security da Check Point oferece segurança completa para endpoint , detectando ataques ransomware e minimizando seu impacto.
Descubra mais sobre Check Point Endpoint Security lendo o resumo da solução ou solicitando uma demo.
