Nieuwe ransomwaredreiging 'SafePay' baart zorgen

Wat SafePay onderscheidt volgens Graham Cluley, van veel andere ransomwaregroepen is de afwezigheid van een Ransomware-as-a-Service (RaaS)-model. In tegenstelling tot criminele consortia die hun malware aan derden verhuren, lijkt de SafePay-groep de ransomware zelf te ontwikkelen én in te zetten. Dit biedt hen naar eigen zeggen "een betere operationele beveiliging en strakkere controle".

Deskundigen vermoeden dat SafePay mogelijk nauwe banden heeft met notoire groepen zoals LockBit, BlackCat en INC Ransomware. Dit zou betekenen dat de daders achter SafePay geen nieuwkomers zijn in de cybercrime-wereld, maar ervaren criminelen met de middelen om aanzienlijke impact te creëren.

Opmerkelijke uitsluiting van landen

Een opvallend kenmerk van SafePay is dat de ransomware stopt met draaien als de taalinstellingen van het slachtoffer overeenkomen met talen zoals Russisch, Oekraïens, Wit-Russisch, Armeens, Azerbeidzjaans (Cyrillisch), Georgisch en Kazachs. Dit suggereert dat de daders geen Russische bedrijven tot hun slachtoffers willen rekenen, mogelijk uit angst voor lokale wetshandhaving, of om te voorkomen dat hun eigen systemen per ongeluk geïnfecteerd raken.

Eerdere slachtoffers en bescherming

Tot de bekende slachtoffers behoren het Britse telematicabedrijf Microlise, dat in oktober 2024 1,2 TB aan data verloor, en een pathologielab in Noord-Carolina, waar in januari 2025 gevoelige patiëntgegevens van meer dan 200.000 mensen werden gestolen. Recent werd Ingram Micro het slachtoffer van SafePay.

Om bedrijven te beschermen tegen SafePay wordt dringend geadviseerd om multi-factor authenticatie te handhaven op alle toegangspunten op afstand (VPN/RDP), ongebruikte toegangspunten uit te schakelen en waar mogelijk IP-allowlists of geofencing te gebruiken. Algemene ransomware-verdedigingsadviezen, zoals het maken van veilige off-site back-ups en het opleiden van personeel, blijven cruciaal.