Threat Intelligence

SafePay

Erst Ende 2024 aufgetaucht, kletterte SafePay 2025 rasant in die Spitzengruppe der Ransomware-Akteure.

Kurz erklärt

SafePay ist eine Ende 2024 aufgekommene Ransomware-Operation, die 2025 durch eine hohe Zahl gelisteter Opfer auffiel. Der Einstieg erfolgt häufig über gültige Zugangsdaten und RDP; anschließend Datendiebstahl und Verschlüsselung (Double Extortion).

Typ

Ransomware-as-a-Service (RaaS)

Status

Aufkommend – seit Ende 2024, stark wachsend 2025 (Stand: Juli 2026)

Motivation

Finanziell

Typische Ziele

Mittelstand branchenübergreifend, auch DACH

Taktiken

Gültige Zugangsdaten, RDP, LOLBins, Double Extortion

Risiko-Einschätzung

Hoch – schnelles Wachstum, noch wenig öffentliche Signaturen

Was Unternehmen jetzt prüfen sollten

  • RDP nie ungeschützt exponieren; MFA erzwingen
  • Überwachung auf verdächtige Anmeldungen und LOLBins
  • Least Privilege und Netzwerksegmentierung
  • Offline-Backups

Wie Argos unterstützt

Identity-Monitoring und verhaltensbasierte 24/7-Erkennung im Cyber Defense Center fängt neue, signaturarme Gruppen wie SafePay früh ab.