Ein aktueller Ransomware-Vorfall im IT-Markt zeigt erneut deutlich: selbst hochprofessionelle Unternehmens- und Distributionsinfrastrukturen sind nicht immun gegen gezielte Cyberangriffe! Als agierender IT Dienstleister nehmen wir diese Entwicklung sehr ernst, denn sie betrifft nicht nur einzelne Unternehmen, sondern potenziell die gesamte Lieferkette. Der Ausfall eines Gliedes in der Kette verbundener Systeme bedeutet nämlich direkt einen Komplettausfall. Damit rückt Ihre IT-Umgebung und Ihr Unternehmen ebenfalls in den Fokus. Jetzt ist der richtige Zeitpunkt, Ihre Schutzmaßnahmen zu überprüfen und gezielt zu stärken.

Was wir über SafePay wissen - und worauf Sie achten sollten

Die Ransomware-Gruppe SafePay^[1] ist seit November 2024 aktiv und gehört mittlerweile zu den aggressivsten Akteuren ihrer Art. Ihre Angriffe zielen meist auf veraltete VPN-Gateways oder gestohlene Zugangsdaten. Das Erpressungsmodell basiert auf Doppeldrohung: Daten werden verschlüsselt und exfiltriert. Typische Merkmale: Dateiendung .safepay und die Lösegeldnote readme_safepay.txt.

Zur Verbreitung nutzt SafePay u. a. RDP, SMB, ScreenConnect und eigene Backdoors. Ein eingebauter Kill-Switch sorgt dafür, dass Systeme mit russischem oder kyrillischem Gebietsschema verschont bleiben.

 Warum auch Sie betroffen sein könnten - selbst ohne direkten Angriff

Ein Angriff auf ein verbundenes Unternehmen kann auch Ihre Umgebung gefährden – etwa durch:

• Mehrmandanten-Modelle (GDAP/CSP): Kompromittierte Tenants können auf verbundene Mandanten übergreifen.
• Gemeinsame Schnittstellen: Lizenzportale, Ticket-Systeme, Office Anwendungen oder E-Mail-Routing bieten potenzielle Angriffsflächen.
• Brand Spoofing: Phishing unter Verwendung bekannter Logos (z. B. von Distributoren, Telko Anbieter oder bekannte Versicherungsagenturen) wirkt besonders glaubwürdig.

Ob Schnittstellen, Kundendaten oder administrative Verbindungen gefährdet wurden, ist oft zunächst unklar – erhöhte Wachsamkeit ist daher essenziell.

 Sofortmaßnahmen – das sollten Sie jetzt tun

Wir empfehlen die Umsetzung folgender Schutzmaßnahmen – abgestuft nach Priorität:

Priorität A – innerhalb von 24 Stunden

• GDAP- & Delegated-Admin-Rollen^[2] auf Least Privilege prüfen
• Alle Passwörter rotieren, MFA^[3] verpflichtend aktivieren
• VPN-Firmware aktualisieren, unsichere Protokolle deaktivieren

Priorität B – innerhalb von 72 Stunden

• Scan nach .safepay-Dateien und readme_safepay.txt
• Mit netstat -ano nach verdächtigen Verbindungen (z. B. 88.119.167.239:443) suchen
• Systemsprache prüfen (Kill-Switch-Kriterium)

Priorität C – laufend

• SafePay-IOCs in das SIEM/SOAR-System^[4] integrieren, um Bedrohungen frühzeitig zu erkennen und automatisiert darauf reagieren zu können.
• Notfall-Playbooks um Szenarien der Double-Extortion erweitern, um im Ernstfall schnell und koordiniert handeln zu können.
• Regelmäßige Security-Awareness-Trainings für interne Teams und Mitarbeitende, um das Sicherheitsbewusstsein nachhaltig zu fördern – mit Fokus auf Phishing-Gefahren wie gezielte Social-Engineering-Angriffe^[5], CEO-Fraud^[6], Credential Harvesting^[7], sowie das Einschleusen von Ransomware über manipulierte Links oder Dateianhänge.
• Zusätzlich sollen Risiken durch unzureichend gesicherte Systeme und unautorisierte Softwareinstallationen thematisiert werden.

 

Quellennachweis:
[1] https://t3n.de/news/erst-wenige-monate-aktiv-gefaehrlichste-ransomware-gruppe-1693208/
[2] https://learn.microsoft.com/de-de/partner-center/customers/gdap-introduction
[3] https://de.wikipedia.org/wiki/Multi-Faktor-Authentisierung
[4] https://www.vpnhaus.com/de/2025/siem-und-soar-it-sicherheit-optimieren
[5] https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Cyber-Sicherheitslage/Methoden-der-Cyber-Kriminalitaet/Social-Engineering/social-engineering_node.html
[6] https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Empfehlungen-nach-Gefaehrdungen/Social-Engineering/social-engineering_node.html