SafePay: E-Mail-Bomben, Telefonbetrug und wirklich große Lösegelder

Bei der Wahl eines Markennamens muss „SafePay“ zu den langweiligsten Optionen gehören. Es klingt mehr nach einer Zahlungs-App als nach einer organisierten Verbrecherbande. Es gibt keine Drachen, Käfer oder Köpfe voller Schlangen, aber die Gruppe hinter der Marke ist kompetent und skrupellos. SafePay hat sich mit starker Verschlüsselung, Datenexfiltration und hohen Lösegeldforderungen von einer schnell wachsenden Liste von Opfern einen Namen gemacht.  

SafePay-Ransomware wurde erstmals im Oktober 2024 beobachtet und später wurde bestätigt, dass sie mindestens einen Monat zuvor aktiv war. Bis zum Ende des ersten Quartals 2025 forderte SafePay über 200 Opfer, darunter Managed Service Provider (MSPs) und kleine bis mittlere Unternehmen (KMU) aus verschiedenen Branchen. Die Gruppe war unerbittlich und forderte im Mai 2025 zwischen 58 und 70 Opfer, was sie zur aktivsten Ransomware-Gruppe in diesem Monat machte.  

Wer ist SafePay?

Fangen wir mit der Marke an. Der Name „SafePay“ könnte ein Versuch sein, die Gruppe vertrauenswürdig erscheinen zu lassen oder Verwirrung zu stiften, indem der Name legitimer Sicherheitsprodukte verwendet wird. Durch die Verwendung desselben Namens wie legitime und potenziell vertrauenswürdige Software kann die Gruppe ihre Aktivitäten in Prozesslisten, Social-Engineering-Kampagnen oder Phishing-E-Mails verschleiern. Es gibt keine öffentlich zugänglichen Hinweise auf eine Bedeutung oder einen Sinn hinter dem Namen, daher hat er möglicherweise gar keine Bedeutung. 

Die SafePay-Ransomware-Betreiber bezeichnen sich selbst als das „SafePay-Team“. Die Gruppe bietet kein Ransomware-as-a-Service (RaaS)-Programm an, was darauf hindeutet, dass SafePay ein zentralisierter Betrieb ist, der seine eigene Infrastruktur, Abläufe und Verhandlungen verwaltet.

Experten spekulieren, dass SafePay von erfahrenen Bedrohungsakteuren verwaltet wird, die sich umbenannt haben oder von einer anderen Ransomware-Gruppe abgewandert sind. Es bestehen erhebliche Ähnlichkeiten zwischen den Binärdateien der Ransomware SafePay und LockBit, wobei SafePay am ehesten LockBit 3.0 ähnelt, das im Jahr 2022 geleakt wurde. Analysen von Yelisey Boguslavskiy ergaben Ähnlichkeiten zwischen den SafePay- und Conti-Angriffen, was darauf schließen lässt, dass SafePay möglicherweise ehemalige Mitglieder von Conti und anderen Gruppen umfasst. Boguslavskiy spekuliert auch, dass das Wachstum von SafePay im Jahr 2024 ein Hauptgrund für den Zusammenbruch von Black Basta gewesen sein könnte. Dies lässt darauf schließen, dass SafePay durch die gezielte und strategische Übernahme von Talenten aus etablierten Bedrohungsgruppen gebildet wurde.

Es gibt keinen öffentlich bestätigten Standort der SafePay-Betreiber, aber es gibt Hinweise auf eine „Heimatbasis“ in Osteuropa. Die SafePay-Binärdatei enthält einen Notausschalter, um zu verhindern, dass sie auf Systemen mit Russisch oder anderen kyrillischen Sprachen als Standardsprache ausgeführt wird. Dieser Notausschalter ist eines der häufigsten Anzeichen dafür, dass die Gruppe in dieser Region aktiv ist.

Da SafePay kein RaaS-Betrieb ist, haben wir keine Stellenanzeigen oder Partnerregeln, die auf seinen Standort hinweisen könnten. Die Standortdaten der Opfer zeigen uns, dass SafePay offenbar bevorzugt Opfer in den USA und Deutschland ins Visier nimmt. Hier ist die Aufschlüsselung nach Ländern:

SafePay und Social Engineering

SafePay-Angriffe stützen sich stark auf Social-Engineering-Taktiken. Eine der typischen Vorgehensweisen der Gruppe besteht darin, die Belegschaft eines Unternehmens zu stören, indem sie eine große Menge an Spam-E-Mails an die Mitarbeiter versendet. Forscher beobachteten einen Angriff, der innerhalb von 45 Minuten über 3.000 dieser Spam-Nachrichten versendete.

Die Angreifer nutzen dann das durch den Spam-Angriff verursachte Chaos aus, indem sie Microsoft Teams verwenden, um die Mitarbeiter per Audio- oder Videoanruf oder per Textnachricht zu kontaktieren. Der Bedrohungsakteur gibt sich als Mitarbeiter des technischen Supports des Unternehmens aus und bietet an, die durch die E-Mail-Angriffe verursachten Probleme zu lösen. Wenn der Bedrohungsakteur/Anrufer erfolgreich ist, wird er den Mitarbeiter davon überzeugen, ihm über etwas wie Microsoft Quick Assist Fernzugriff auf das System zu gewähren. Im Microsoft Security-Blog finden Sie eine Schritt-für-Schritt-Anleitung, wie Black Basta diese Methode verwendet hat, um sich ersten Zugriff zu verschaffen. Wenn Sie nicht wissen, wie diese Angriffe funktionieren, sollten Sie diesen Blogbeitrag und diesen Microsoft-Artikel zur Sicherung von Microsoft Teams lesen.

Lassen Sie uns hier ein paar Dinge anmerken. Zunächst einmal ist dies ein Beispiel dafür, wie Bedrohungsakteure den Helpdesk eines Unternehmens als Angriffsvektor nutzen. Bei diesem Angriff wird der Helpdesk imitiert, und der Bedrohungsakteur ist darauf angewiesen, dass der Mitarbeiter den Unterschied zwischen einem Bedrohungsakteur und einem legitimen technischen Support nicht kennt. Chaos-Ransomware verwendet derzeit eine Variation dieses Angriffs, und wir haben dies in der Vergangenheit bei Black Basta und anderen gesehen. Sie können diese Art von Angriff durch Mitarbeiterschulungen und Sicherheitsrichtlinien bekämpfen, die eine Überprüfung für den Helpdesk-Support erfordern. Weitere Informationen zur Helpdesk-Security finden Sie in diesem RSA-Blog.

Ein weiterer wichtiger Punkt ist, dass Voice-Phishing-Angriffe (Vishing) häufig von Bedrohungsakteuren durchgeführt werden, die auf Telefonbetrug spezialisiert sind. Diese „Anrufer“ oder „Talker“ bewerben ihre Dienste in Kriminalitätsforen oder auf Marktplätzen. Organisierte Anrufergruppen bieten möglicherweise Vishing als Dienstleistung und spezielle Betrugsmaschen an, bei denen die Opfer beispielsweise dazu gebracht werden, MFA-Aufforderungen zu akzeptieren. Möglicherweise finden Sie auch Stellenausschreibungen wie diese: 

Anrufer sprechen in der Regel fließend Englisch und andere Sprachen und verfügen über starke verbale und kommunikative Fähigkeiten. Die Aufgabe eines Anrufers besteht darin, eine Zielperson anzurufen, sich als vertrauenswürdige Person auszugeben und das Opfer zu manipulieren, sich an dem Betrug zu beteiligen. Dies ist eine besondere Art von Betrug, den einige Ransomware-Gruppen an andere weitergeben möchten. Unabhängig davon, ob eine Gruppe interne oder externe Anrufer einsetzt, können Sie nicht davon ausgehen, dass ein Vishing-Betrüger einen auffälligen Akzent oder eine KI-Stimme hat.

Sie können Beispiele für versuchte Vishing-Betrüge und aggressive Anrufer in „Scambaiting“-Videos auf YouTube sehen. Achtung: Einige Scambaiter entfernen anstößige Sprache und Formulierungen, aber Sie sollten davon ausgehen, dass alle Scambaiting-Inhalte für die Arbeit und Kinder ungeeignet sind.

SafePay-Angriffskette

Abgesehen von Social Engineering wurde beobachtet, dass SafePay gestohlene Zugangsdaten, schwache oder Standardpasswörter, Exploits und Sicherheitsfehlkonfigurationen nutzt, um Zugriff auf Systeme zu erlangen. Sie können den Zugang selbst einrichten oder ihn von einem Initial Access Broker (IAB) erwerben. Nachdem der Initialzugriff eingerichtet ist, durchläuft der Angriff die typischen Schritte.

Privilegieneskalation: Sobald sie sich im Netzwerk befinden, eskalieren Angreifer ihre Privilegien, um tiefere Kontrolle zu erlangen. Zu den Techniken gehören das Ausnutzen von Schwachstellen im Betriebssystem und schwacher Sicherheit sowie der Diebstahl von Anmeldeinformationen mithilfe von Tools wie Mimikatz. Dadurch kann der Angriff vom einfachen Nutzerzugriff auf Administrator- oder Systemrechte übergehen. Bei Erfolg können die Angreifer in den nachfolgenden Phasen des Angriffs ungehinderten Zugriff erhalten.

Lateralbewegung: Angreifer bewegen sich durch das Netzwerk, um sensible Daten und zusätzliche Ressourcen zu entdecken. Zu diesem Zeitpunkt verwenden sie mehrere „Living-off-the-Land“-Techniken, um das Netzwerk zu kartografieren und andere Schritte des Angriffs durchzuführen.

Umgehung der Verteidigung: Der Angriff wird versuchen, Antivirus zu deaktivieren, Ereignisprotokolle zu löschen, bösartigen Code zu verschleiern und Systemregister zu ändern, um Sicherheitswarnungen abzuschalten. SafePay versucht außerdem, Persistenz zu etablieren, in der Regel durch Ändern von Startelementen oder Konfigurieren von Fernzugriffssoftware. Persistenz wird verwendet, um einen unterbrochenen Angriff fortzusetzen und bei Bedarf langfristigen Zugriff auf das System herzustellen.  

Datenerfassung und -diebstahl: Daten werden identifiziert, gesammelt und für den Diebstahl komprimiert. Es wurde beobachtet, dass SafePay WinRAR und 7-Zip zur Komprimierung sowie RClone und FileZilla FTP für den Datentransfer verwendet.

Verschlüsselung & Erpressung: Sobald kritische Daten exfiltriert wurden, verschlüsselt die Ransomware-Nutzlast die Dateien und benennt jede mit der Dateiendung „.safepay“ um.  SafePay hinterlässt eine Lösegeldforderung (readme_safepay.txt) mit Zahlungsanweisungen und Bedrohungen zur Datenoffenlegung auf Leak-Websites. 

Motivation und bekannte Opfer

SafePay ist eine finanziell motivierte Ransomware-Operation, was durch den konsequenten Einsatz der doppelten Erpressung (Verschlüsselung + Datenlecks) und diesen Text aus der Lösegeldforderung belegt wird:

Wir sind keine politisch motivierte Gruppe und wollen nichts weiter als Geld.

Die Lösegeldforderungen von SafePay sind erheblich, in der Regel werden sie mit 1–3 % des Jahresumsatzes des Opfers berechnet. Eine Lösegeldforderung kann erheblich reduziert werden, wenn dem Opfer bei Zahlung des Lösegeldes regulatorische Konsequenzen drohen.

Eines der bekanntesten Opfer von SafePay ist Ingram Micro, ein globales IT-Vertriebs- und Dienstleistungsunternehmen. Der Angriff wurde Anfang Juli 2025 bestätigt, obwohl Ingram Micro den Angreifer nicht namentlich genannt hat. Forscher brachten den Vorfall mit SafePay in Verbindung, basierend auf Beweisen, die auf der Leak-Website der Gruppe veröffentlicht wurden, sowie auf Bedrohungsinformationen, die von Dark-Web-Überwachungsdiensten weitergegeben wurden. Der Angriff störte den Kernbetrieb weltweit, und Branchenanalysten schätzten Umsatzverluste von mindestens 136 Millionen US-Dollar pro Tag, an dem Aufträge nicht ausgeführt werden konnten.

SafePay hat Microlise im Oktober 2024 angegriffen. Microlise ist ein in Großbritannien ansässiges Unternehmen, das Technologielösungen für das Transportmanagement wie Flottenverfolgung, Fahrerkommunikation, Fahrzeuggesundheit und Sicherheit usw. anbietet. Dies störte den Betrieb der Microlise-Kunden, einschließlich der DHL-Lieferungen und der Security-Systeme in den Gefangenenwagen des britischen Justizministeriums.  

Wie Sie sich schützen können

Die Abwehr der SafePay-Ransomware erfordert eine umfassende Cybersecurity-Strategie. Dazu gehören technische Kontrollen wie Multi-Faktor-Authentifizierung, regelmäßige Patches, starke Endpunkt-Erkennung und -Reaktion sowie Netzwerksegmentierung. Es wird immer wichtiger, Mitarbeiter im Hinblick auf Vishing und andere Social-Engineering-Angriffe zu schulen. Und natürlich sollten alle Unternehmen über eine umfassende Anti-Ransomware-Backup-Lösung verfügen, und die Teams sollten den Wiederherstellungsprozess regelmäßig testen.

Barracuda kann helfen

Schieben Sie die Sicherung Ihres Unternehmens nicht auf. Der beste Zeitpunkt, Ransomware zu bekämpfen, ist, bevor sie zuschlägt. Schützen Sie Ihr Unternehmen mit Ransomware-Schutzlösungen, die Phishing-E-Mails blockieren, Ihre Web-Applikationen schützen und Ihre geschäftskritischen Daten sichern. Mit Anleitung von Cybersecurity-Experten können Sie einen Ransomware-Schutzplan für Ihr Unternehmen erstellen.