Uma nova ameaça de ransomware emergiu como uma das operações cibernéticas mais prolíficas de 2025, com Safepay Ransomware reivindicando ataques contra 73 organizações de vítimas apenas em junho, seguidas por 42 vítimas adicionais em julho.
Esse aumento posicionou Safepay como um ator de ameaça significativo que as equipes de segurança em todo o mundo devem entender e se preparar para se defender.
Diferentemente dos modelos tradicionais de ransomware como serviço (RAAS) que dependem de redes de afiliados, o SafePay opera como um grupo fechado e independente que mantém a segurança operacional estrita.
A metodologia de ataque rápida do grupo se mostrou notavelmente eficaz, com mais de 270 vítimas reivindicadas documentadas ao longo de 2025.
Suas operações têm como alvo principalmente organizações de tamanho médio e corporativo nos Estados Unidos, Alemanha, Grã-Bretanha e Canadá, com foco em indústrias críticas para operações diárias, incluindo manufatura, saúde e construção.
Indústrias mais afetadas (fonte – Bitdefender)
O surgimento do grupo pode ser rastreado até setembro de 2024, decorrente de operações significativas de aplicação da lei que desmontaram o ALPHV (gato preto) e interrompeu severamente a infraestrutura de Lockbit através da Operação Cronos.
Os analistas do BitDefender identificaram partes do ransomware Safepay que complementam as funcionalidades associadas ao Lockbit, especificamente Lockbit Black, embora os grupos operem com metodologias e processos de criptografia distintamente diferentes.
O SafePay demonstra uma capacidade alarmante de executar cadeias de ataque completas dentro de períodos de 24 horas, passando do acesso inicial através da criptografia com eficiência devastadora.
As vítimas de Safepay reivindicadas por dia (fonte – Bitdefender)
Sua seleção de vítimas parece metódica, direcionando organizações com receitas normalmente em torno de US $ 5 milhões, embora os valores extremos incluam entidades com receitas superiores a US $ 100 milhões e uma vítima superando US $ 40 bilhões em receita.
Mecanismos de criptografia e evasão
A Safepay emprega abordagens técnicas sofisticadas que a distinguem de outras famílias de ransomware.
O malware utiliza o algoritmo de criptografia chacha20, implementando teclas simétricas exclusivas para cada arquivo criptografado enquanto incorpora chaves adicionais diretamente no executável do ransomware.
Essa abordagem de chave dupla complica os esforços de recuperação e garante que a criptografia de cada vítima permaneça apenas garantida.
O ransomware demonstra recursos avançados de evasão de defesa, incluindo a prevenção da detecção de depuradores e a capacidade de encerrar processos associados às funções anti-malware.
Após a execução, o SafePay começa imediatamente a remover cópias de sombra de volume para impedir a restauração do sistema e passa a criptografar arquivos com a extensão .SafePay enquanto implanta notas de resgate denominadas “readme_safapay.txt” nos diretórios afetados.
Uma característica técnica notável envolve a lógica de segmentação geográfica do malware.
O SafePay executa a detecção de teclado da linguagem para identificar sistemas usando teclados cirílicos, impedindo a execução desses sistemas, sugerindo possíveis conexões ou alianças russas no ecossistema do ator de ameaças.
Aumente seu SoC e ajude sua equipe a proteger sua empresa com inteligência de ameaças de primeira linha: solicite um teste premium de pesquisa.
