Die neue SafePay-Ransomware bedroht Unternehmen weltweit – auch in Deutschland. Innerhalb weniger Monate hat sie bereits mehr als 200 Unternehmen erpresst.
Mit aggressiven Erpressungsmethoden und schneller Ausbreitung stellt sie eine akute Gefahr dar. Was hinter der Gruppierung steckt und wie Sie sich schützen können, lesen Sie bei uns.
Unser Beitrag über SafePay-Ransomware im Überblick:
- Was ist SafePay?
- So funktioniert die SafePay-Ransomware
- SafePay-Ransomware im Vergleich zu Qilin und Play
- Exkurs: Malware-Ranking 2025
- SafePay-Ransomware – KMU besonders gefährdet
- Empfohlene Schutzmaßnahmen für Unternehmen
- Frühzeitig handeln – unterstützt durch PC-SPEZIALIST
- Update: IT-Distributor Ingram SafePay-Opfer
Was ist SafePay?
SafePay ist eine neue, besonders aggressive Ransomware-Gruppe, die Ende 2024 erstmals in Erscheinung trat. Anfangs waren vor allem Unternehmen in Deutschland betroffen, doch mittlerweile agieren die Täter weltweit. Laut einem Bericht des Sicherheitsunternehmens Check Point war SafePay im ersten Quartal 2025 bereits für 24 Prozent aller Ransomware-Angriffe in Deutschland verantwortlich – ein alarmierender Wert, der die Dynamik und Schlagkraft der Gruppe unterstreicht.
Im Fokus der Angreifer stehen insbesondere kleine und mittelständische Unternehmen, die häufig keine ausreichenden Sicherheitsstrukturen vorweisen können. Charakteristisch für die SafePay-Ransomware ist das professionelle und skrupellose Vorgehen, das auf maximale Wirkung und Erpressungsdruck abzielt. Dabei schrecken die Angreifer nicht vor direkten Drohanrufen zurück. Charakteristisch ist für diese Ransomware, dass sie nicht nur Daten verschlüsselt, sondern gleichzeitig auch kopiert und an an die Drahtzieher weiterleitet – mit dem Ziel, den Druck auf Unternehmen zu erhöhen und schnell an das geforderte Lösegeld zu gelangen.
![SafePay-Ransomware | Hackerattacke | SafePay | Ransomware. Bild: ChatGPT [Bild mit KI erstellt]](https://www.pcspezialist.de/blog/wp-content/uploads/2025/06/SafePay_-ChatGPT_Bild-mit-KI-erstellt-586x500.jpg)
Die Hackergruppe nennt sich SafePay und stammt vermutlich aus dem russischen Raum. Bild: ChatGPT [Bild mit KI erstellt]
So funktioniert die SafePay-Ransomware
Die SafePay-Ransomware nutzt also eine besonders perfide Taktik: die sogenannte doppelte Erpressung. Dabei werden nicht nur die Daten auf den Systemen verschlüsselt, sondern gleichzeitig kopiert und an die kriminellen Hintermänner übermittelt. Die Opfer stehen damit vor einem doppelten Risiko – dem Datenverlust und der Veröffentlichung sensibler Informationen, wobei zeitgleich natürlich Lösegeld gefordert wird.
Um zusätzlichen Druck aufzubauen, setzen die Täter auf direkte Konfrontation. Unternehmen, die sich weigern zu zahlen, werden telefonisch kontaktiert. Darüber hinaus betreibt die Gruppierung eine sogenannte „Seite der Schande“, auf der gestohlene Daten veröffentlicht werden – ein gezielter Versuch, Unternehmen durch Reputationsverlust zur Zahlung zu zwingen. Diese Methoden verdeutlichen, wie professionell und zugleich rücksichtslos SafePay agiert.
Rasante Ausbreitung und aktuelle Ziele von SafePay
Ursprünglich lag der geografische Fokus der Angriffe durch die SafePay-Ransomware auf Deutschland. Allerdings hat sich die Gruppe in kürzester Zeit international ausgedehnt, sodass mittlerweile „nur noch“ etwa 20 Prozent der Zielunternehmen aus dem deutschsprachigen Raum stammen. Weltweit wurden bereits mehr als 200 Unternehmen Opfer dieser fiesen Ransomware – und die Angriffe gehen weiter, ein Ende ist derzeit nicht in Sicht. Das Einfallstor bilden schwerpunktmäßig Phishing-Kampagnen.
Auffällig ist dabei der hohe Organisationsgrad der Gruppe: Die eingesetzte Malware enthält kyrillische Sprachbestandteile, was auf einen Ursprung im russischsprachigen Raum hindeutet. Die Auswahl der Ziele erfolgt offenbar strategisch – besonders gefährdet sind Unternehmen mit kritischer Infrastruktur oder hoher Datenrelevanz. Dazu zählen etwa Einrichtungen im Bildungs- und Gesundheitswesen sowie Telekommunikationsdienstleister.
SafePay-Ransomware im Vergleich zu Qilin und Play
Neben der SafePay-Ransomware zählen auch die Ransomware-Gruppen Qilin und Play zu den derzeit aktivsten und gefährlichsten Akteuren. Während SafePay durch direkte Erpressung und eine hohe Zahl an Angriffen auffällt, setzt Qilin auf ein anderes Geschäftsmodell: Die Malware wird nicht selbst eingesetzt, sondern an Dritte verkauft. Diese schleusen die Schadsoftware per Phishing ein und nutzen sie primär in Bildungseinrichtungen und im Gesundheitswesen.
Play wiederum geht technisch versierter vor: Statt auf Phishing zu setzen, nutzt die Gruppe kompromittierte Zugangsdaten oder Sicherheitslücken in Unternehmensnetzwerken. Die Play-Ransomware ist bereits seit 2022 aktiv und zeigt, dass auch ältere Gruppierungen weiterhin große Schäden anrichten können – insbesondere in Nord- und Südamerika sowie Europa.
Im direkten Vergleich bleibt SafePay jedoch derzeit die größte Bedrohung. Die Kombination aus technischer Raffinesse, hoher Schlagzahl und aggressivem Auftreten verschafft der Gruppe einen gefährlichen Vorsprung.
![SafePay-Ransomware | Hackerattacke | SafePay | Ransomware. Bild: ChatGPT [Bild mit KI erstellt]](https://www.pcspezialist.de/blog/wp-content/uploads/2025/06/Hackergruppe-SafePay_ChatGPT.jpg)
Hackergruppen entwickeln immer neue Ransomware, um IT-Sicherheitsmaßnahmen einen Schritt voraus zu sein. Bild: ChatGPT [Bild mit KI erstellt]
Exkurs: Malware-Ranking 2025
Neben gezielten Ransomware-Attacken durch Gruppen wie SafePay bleibt klassische Malware eine der größten Bedrohungen für Unternehmen in Deutschland. Der monatliche „Global Threat Index“ von Check Point liefert dabei einen aktuellen Überblick über die am häufigsten eingesetzten Schadprogramme.
Im Mai 2025 war FakeUpdates – auch bekannt als SocGholish und nicht zu verwechseln mit dem Update-Faker – erneut das aktivste Schadprogramm. Diese Malware wird seit 2018 über kompromittierte Websites verbreitet und gibt sich als Browser-Update aus. Sie stammt vermutlich von der russischen Hackergruppe Evil Corp und dient als Plattform für weitere Schadsoftware.
Die Top-5-Malware-Familien in Deutschland sind in 2025:
- FakeUpdates (SocGholish): Führt seit Monaten die Liste an. Verbreitet über gefälschte Updates, dient als Dropper für weitere Schadsoftware.
- Androxgh0st: Ein Botnetz, das verschiedene Plattformen infiziert und gezielt auf Framework-Schwachstellen wie Laravel und PHPUnit abzielt.
- Remcos: Ein Remote Access Trojaner (RAT), der über infizierte Office-Dokumente verbreitet wird und UAC-Schutzmechanismen umgeht.
- SnakeKeylogger: Zeichnet Tastatureingaben auf und stiehlt Zugangsdaten. Besonders heimtückisch und schwer zu erkennen. Mehr Infos zu Keyloggern an anderer Stelle bei uns im Blog.
- FormBook: Ein beliebter Infostealer, der sich unauffällig in Windows-Systeme einschleicht und Zugangsdaten, Screenshots und Tastatureingaben abgreift.
- AsyncRAT: Wird zunehmend eingesetzt, vor allem über Phishing-Kampagnen. Besonders im Gesundheitswesen, im Bildungssektor und in der Biotechnologie-Branche ist ein starker Anstieg von Infektionen zu verzeichnen.
Diese Entwicklung zeigt deutlich: Neben gezielten Erpressungsversuchen durch Ransomware-Gruppen wie SafePay stellen auch klassische Malware-Familien eine ernste Gefahr für die IT-Sicherheit von Unternehmen dar. Umso wichtiger ist es, Systeme regelmäßig zu analysieren, verdächtige Aktivitäten zu überwachen und alle Endpunkte abzusichern.
Cyberbedrohungen 2025: Diese Gruppen setzen neue Maßstäbe
Neben klassischen Malware-Varianten und bekannten Ransomware-Gruppen wie SafePay rücken 2025 auch neue Akteure in den Fokus der Sicherheitsanalysen. Laut dem Report „Top 10 Masked Actors 2025“ von Group-IB zählen die Gruppen Ransomhub, Goldfactory und Lazarus derzeit zu den gefährlichsten Cyberakteuren weltweit.
- Ransomhub tritt als Nachfolger von ALPHV (BlackCat) auf und hat sich binnen weniger Monate zur dominierenden Ransomware-as-a-Service-Plattform entwickelt. Die Gruppierung verfolgt eine perfide Strategie: Nach erfolgreichem Angriff bietet sie ihren Opfern vermeintlich „professionelle Beratung“ zur Cybersicherheit an – gegen Zahlung des geforderten Lösegelds.
- Goldfactory zielt mit hochentwickelter Mobil-Malware auf Banking-Daten. Besonders beunruhigend ist der Einsatz von Deepfakes zur Umgehung biometrischer Schutzmechanismen. Der Trojaner Goldpickaxe.iOS ist speziell auf iOS-Nutzer zugeschnitten und ein Beispiel für die zunehmende Verschmelzung von Cyberkriminalität und Künstlicher Intelligenz.
- Die Gruppe Lazarus, die in Verbindung mit Nordkorea steht, setzt ihre Angriffe gegen Unternehmen mit kritischer Infrastruktur fort. Im Visier stehen vor allem Finanzdienstleister und Kryptobörsen. Ihr Vorgehen ist systematisch und staatlich gelenkt – und damit besonders schwer zu stoppen.
Diese Entwicklungen zeigen: Die Bedrohung durch Cyberangriffe wird 2025 nicht nur vielfältiger, sondern auch raffinierter. Unternehmen aller Größen müssen sich auf eine neue Qualität digitaler Gefahren einstellen.
![SafePay-Ransomware | Hackerattacke | SafePay | Ransomware. Bild: ChatGPT [Bild mit KI erstellt]](https://www.pcspezialist.de/blog/wp-content/uploads/2025/06/SafePay-Ransomware_ChatGPT.jpg)
Kleine und mittlere Unternehmen sind besonders gefährdet, Opfer eines Angriffs zu werden – Schulungen der Mitarbeiter schützen. Bild: ChatGPT [Bild mit KI erstellt]
SafePay-Ransomware – KMU besonders gefährdet
Nach diesem kleinen Exkurs zu den gefährlichsten Ransomware-Gruppen und Schadsoftware-Programmen zurück zu SafePay und der Frage, warum KMU besonders gefährdet sind: Kleine und mittelständische Unternehmen sind ein bevorzugtes Ziel für Ransomware-Gruppen wie SafePay. Der Grund: Viele dieser Betriebe verfügen oftmals über keine IT-Abteilung oder investieren schlicht und einfach zu wenig in Cybersicherheit. Dadurch entstehen Sicherheitslücken, die von Angreifern gezielt ausgenutzt werden.
Besonders problematisch ist, dass viele KMU glauben, für Cyberkriminelle uninteressant zu sein. Tatsächlich sind sie jedoch attraktiv, weil die Verteidigung oft schwächer ist und ein erfolgreicher Angriff mit vergleichsweise geringem Aufwand durchführbar ist. Hinzu kommt: Selbst ein kurzer Betriebsausfall oder der Verlust sensibler Kundendaten kann für kleine Betriebe existenzbedrohend sein – was die Wahrscheinlichkeit einer Lösegeldzahlung erhöht.
Empfohlene Schutzmaßnahmen für Unternehmen
Damit Unternehmen nicht ins Visier von Ransomware-Gruppen wie SafePay geraten, ist ein mehrstufiges Sicherheitskonzept unerlässlich. Dazu gehört in erster Linie die Absicherung aller Systeme mit aktueller Sicherheitssoftware sowie regelmäßige Updates von Betriebssystemen und Anwendungen.
Genauso wichtig ist ein durchdachtes Backup-Konzept: Daten sollten automatisiert, verschlüsselt und regelmäßig gesichert werden – und zwar getrennt vom Hauptsystem. Auch Schulungen für Mitarbeiter spielen eine zentrale Rolle. Wer Phishing-Mails oder verdächtige Dateien erkennt, kann viele Angriffe im Vorfeld abwehren. Ergänzend empfiehlt sich:
- die konsequente Nutzung von Multi-Faktor-Authentifizierung für alle Zugänge,
- die gezielte Schwachstellenanalyse von Netzwerken,
- ein definierter Notfallplan für IT-Sicherheitsvorfälle,
- sowie die Überprüfung von externen Zugriffsrechten und Fernwartungsverbindungen – Stichwort Zero Trust.
Diese Maßnahmen helfen dabei, Angriffe frühzeitig zu erkennen oder im Ernstfall handlungsfähig zu bleiben.
![SafePay-Ransomware | Hackerattacke | SafePay | Ransomware. Bild: ChatGPT [Bild mit KI erstellt]](https://www.pcspezialist.de/blog/wp-content/uploads/2025/06/SafePay_ChatGPT.jpg)
PC-SPEZIALIST unterstützt Sie dabei, die Sicherheitsmaßnahmen für Ihre IT zu erhöhen. Bild: ChatGPT [Bild mit KI erstellt]
Frühzeitig handeln – unterstützt durch PC-SPEZIALIST
Die SafePay-Ransomware zeigt deutlich, wie schnell sich die Bedrohungslage verändern kann. Innerhalb weniger Monate hat sich die Gruppe von einem regionalen Phänomen zu einer der gefährlichsten Cyberbedrohungen weltweit entwickelt. Für Unternehmen bedeutet das: Wer sich bisher nur halbherzig mit dem Thema IT-Sicherheit befasst hat, läuft Gefahr, ein leichtes Ziel zu werden.
Gerade kleine und mittelständische Betriebe sollten ihre IT-Infrastruktur kritisch überprüfen und Schutzmaßnahmen nicht weiter aufschieben. Denn selbst eine vermeintlich unbedeutende Sicherheitslücke kann erhebliche Schäden verursachen – von finanziellen Verlusten bis hin zu nachhaltigem Reputationsschaden.
Damit Ihre IT-Systeme optimal geschützt werden, ist PC-SPEZIALIST in Ihrer Nähe für Sie da. Von der Schwachstellenanalyse über die Einrichtung sicherer Backup-Routinen bis hin zur Absicherung Ihrer Systeme mit moderner Sicherheitssoftware – unsere IT-Dienstleister unterstützen Sie gern. Lassen Sie sich für geeignete individuelle IT-Lösungen persönlich beraten.
UPDATE: IT-Distributor Ingram ist SafePay-Opfer
Der weltweit agierende IT-Großhändler Ingram Micro kämpft seit Donnerstag mit einem weitreichenden Systemausfall, der auf eine mutmaßliche Ransomware-Attacke zurückzuführen ist. Medienberichten zufolge sollen sich die Angreifenden über ein unsicher konfiguriertes VPN-Gateway Zugriff auf interne Systeme verschafft haben.
Die Ransomware-Gruppe SafePay, die sich innerhalb weniger Monate zu einer der aktivsten Bedrohungsakteure entwickelt hat, reklamiert den Angriff für sich. Seit ihrem ersten bekannten Auftreten im November 2024 hat SafePay mehr als 220 Unternehmen attackiert – darunter vermehrt IT-Dienstleister, Distributoren und Cloud-Anbieter.
Ingram Micro hat daraufhin sämtliche betroffenen Systeme vorsorglich abgeschaltet, darunter auch die eigene Website sowie das Online-Bestellportal für Geschäftskunden. Erst durch eine Lösegeldforderung, die auf mehreren Arbeitsplätzen angezeigt wurde, wurde das Ausmaß des Angriffs intern bekannt. Ob tatsächlich Unternehmensdaten verschlüsselt oder exfiltriert wurden, ist bisher unklar. Die Folgen für Reseller und IT-Dienstleister sind jedoch bereits spürbar: Bestellprozesse sind gestört, Lieferketten verzögert und Supportanfragen nur eingeschränkt möglich.
_______________________________________________
Quellen: check point, t3n, security-insider, group-ib, it-daily, Pexels/Lucas Andrade (Headerbild)
Schreiben Sie einen Kommentar