SafePay: bombe e-mail, truffe telefoniche e riscatti davvero ingenti

Quando si tratta di scegliere un nome di un marchio, "SafePay" deve essere tra le scelte meno accattivanti. Sembra infatti più un'app per i pagamenti che un gruppo di criminalità organizzata. Non ci sono fuochi pirotecnici, attrazioni o sensazionalismi, ma il gruppo dietro al marchio è abile e spietato. SafePay si è fatto ormai un nome grazie alla crittografia forte, all'esfiltrazione dei dati e alle elevate richieste di riscatto da parte di un elenco di vittime in rapida crescita.

Il ransomware SafePay è stato osservato per la prima volta nell'ottobre 2024 e successivamente confermato attivo almeno un mese prima. Entro la fine del primo trimestre del 2025, SafePay ha mietuto oltre 200 vittime, tra cui provider di servizi gestiti (MSP) e piccole e medie imprese (PMI) in diversi settori. Il gruppo è stato implacabile, mietendo tra le 58 e 70 vittime nel maggio 2025, rendendolo il gruppo di ransomware più attivo quel mese.

Chi è SafePay?

Iniziamo con il marchio. Il nome "SafePay" può essere un tentativo di far sembrare il gruppo affidabile o creare confusione utilizzando il nome di prodotti di sicurezza legittimi. Utilizzando lo stesso nome di un software legittimo e potenzialmente affidabile, il gruppo può oscurare le proprie attività negli elenchi di processi, nelle campagne di social engineering o nelle e-mail di phishing. Non esistono prove pubbliche che dimostrino che il nome abbia un significato particolare, quindi forse non ne ha affatto.

Gli operatori del ransomware SafePay si definiscono il "team SafePay." Il gruppo non offre un programma ransomware-as-a-service (RaaS), il che suggerisce che SafePay è un'operazione centralizzata che gestisce la propria infrastruttura, le proprie operazioni e le proprie negoziazioni.

Gli esperti ipotizzano che SafePay sia gestito da attori di minacce esperti che hanno cambiato marchio o sono migrati da un altro gruppo ransomware. Esistono notevoli somiglianze tra i file binari del ransomware SafePay e LockBit, anche se SafePay è più simile a LockBit 3.0, trapelato nel 2022. L'analisi di Yelisey Boguslavskiy ha rilevato somiglianze tra gli attacchi di SafePay e quelli di Conti, suggerendo che SafePay potrebbe includere ex membri di Conti e di altri gruppi. Boguslavskiy ipotizza inoltre che la crescita di SafePay nel 2024 possa essere stata una delle ragioni principali del crollo di Black Basta. Questo suggerisce che SafePay sia stata formata attraverso un'acquisizione intenzionale e strategica di talenti da gruppi di minacce affermati.

Non esiste una sede ufficialmente confermata degli operatori di SafePay, ma alcune prove indicano una "base operativa" nell'Europa orientale. Il binario SafePay include un kill switch per impedirne l'esecuzione su sistemi che utilizzano il russo o altre lingue cirilliche come impostazione predefinita. Questo kill switch è uno degli indicatori più comuni che il gruppo operi in quella regione.

Poiché SafePay non è un'operazione RaaS, non abbiamo post di reclutamento o regole per affiliati che potrebbero suggerire la sua posizione. I dati sulla posizione delle vittime mostrano che SafePay sembra preferire prendere di mira le vittime negli Stati Uniti e in Germania. Ecco la ripartizione per paese:

SafePay e social engineering

Gli attacchi SafePay si basano in gran parte sulle tattiche di social engineering. Una delle mosse distintive del gruppo è disturbare la forza lavoro di un'azienda inviando ai dipendenti un elevato volume di e-mail di spam. I ricercatori hanno osservato che un attacco ha recapitato oltre 3.000 di questi messaggi di spam in 45 minuti.

Gli attaccanti sfruttano quindi il caos causato dall'attacco di spam utilizzando Microsoft Teams per contattare i dipendenti tramite una chiamata audio o video o un messaggio di testo. L'attore della minaccia si spaccia per un membro del supporto tecnico dell’azienda e si offre di risolvere i problemi causati dagli attacchi email. Se l'autore della minaccia/chiamante ha successo nella sua azione, convincerà il dipendente a fornire l'accesso remoto al sistema tramite qualcosa come Microsoft Quick Assist. Il blog Microsoft Security contiene una guida dettagliata su come Black Basta ha utilizzato questo metodo per ottenere l'accesso iniziale. Se non si ha familiarità con il funzionamento di questi attacchi, si consiglia di consultare quel post del blog e questo articolo di Microsoft sulla protezione di Microsoft Teams.

Prendiamo nota di alcune cose. Innanzitutto, questo è un esempio di attori di minaccia che trasformano l'help desk aziendale in un vettore di attacco. In questo attacco, l'autore della minaccia si spaccia per l'help desk e fa affidamento sul fatto che il dipendente non è in grado di distinguere tra l'autore di minacce e un effettivo supporto tecnico. Il ransomware Chaos sta attualmente utilizzando una variante di questo attacco e lo abbiamo visto in passato con Black Basta e altri. Si può combattere questo tipo di attacco attraverso la formazione dei dipendenti e policy di sicurezza che richiedono la verifica per il supporto dell'help desk. Consulta questo blog di RSA per ulteriori informazioni sulla sicurezza dell'help desk.

Un altro punto significativo è che gli attacchi di phishing (vishing) vengono spesso eseguiti da attori di minaccia specializzati in frodi telefoniche. Questi "chiamanti" o "parlatori" pubblicizzano i propri servizi su forum o mercati specializzati in criminalità. I gruppi di chiamanti organizzati possono offrire vishing come servizio e truffe specializzate come convincere le vittime ad approvare le richieste MFA. Potresti trovare anche post di reclutamento come questo:

Di solito, i chiamanti parlano fluentemente inglese e in altre lingue e possiedono ottime capacità verbali e conversazionali. Il ruolo di un chiamante è di contattare un bersaglio, spacciarsi per una figura fidata e manipolare la vittima per convincerla a partecipare alla truffa. Si tratta di un tipo particolare di truffa che alcuni gruppi di ransomware vogliono delegare a qualcun altro. Indipendentemente dal fatto che un gruppo utilizzi chiamanti interni o di terze parti, non si può presumere che un truffatore di vishing abbia un accento marcato o una voce generata dall'IA.

Su YouTube è possibile guardare esempi di tentativi di truffe di vishing e di chiamanti aggressivi nei video di "scambaiting". Avviso importante: alcuni scambaiter eliminano il linguaggio e le espressioni offensive, ma è consigliabile considerare tutti i contenuti relativi allo scambaiting come inappropriati per il lavoro e per i bambini.

Catena di attacco SafePay

Oltre al social engineering, è stato osservato che SafePay utilizza credenziali rubate, password deboli/predefinite, exploit e configurazioni di sicurezza errate per accedere ai sistemi. Possono stabilire l'accesso da soli o acquistare l'accesso da un broker di accesso iniziale (IAB). Dopo aver stabilito un accesso iniziale, l'attacco procede attraverso i passaggi tipici.

Escalation dei privilegi: una volta all'interno della rete, gli attaccanti aumentano i privilegi per ottenere un controllo più approfondito. Le tecniche prevedono lo sfruttamento delle vulnerabilità del sistema operativo e della sicurezza debole, nonché il furto delle credenziali utilizzando strumenti come Mimikatz. Questo consente all'attacco di passare dall'accesso di base degli utenti ai diritti di amministratore o a quelli di sistema. In caso di successo, gli attaccanti potrebbero ottenere un accesso illimitato nelle fasi successive dell'attacco.

Movimento laterale: gli attaccanti si muovono attraverso la rete per scoprire dati sensibili e risorse aggiuntive. A questo punto, stanno utilizzando diverse tecniche "living-off-the-land" per mappare la rete ed eseguire altre fasi dell'attacco.

Evasione della difesa: l'attacco tenterà di disattivare l'antivirus, cancellare i registri degli eventi, offuscare il codice dannoso e alterare i registri di sistema per disattivare gli avvisi di sicurezza. SafePay tenta inoltre di stabilire la persistenza, di solito modificando gli elementi di avvio o configurando il software di accesso remoto. La persistenza viene utilizzata per riprendere un attacco interrotto e stabilire un accesso a lungo termine al sistema, se necessario.

Raccolta ed esfiltrazione dei dati: i dati vengono individuati, raccolti e compressi per l'esfiltrazione. È stato osservato che SafePay utilizza WinRAR e 7-Zip per la compressione e RClone e FileZilla FTP per il trasferimento dei dati.

Crittografia ed estorsione: una volta che i dati critici sono stati esfiltrati, il payload del ransomware crittografa i file e rinomina ciascuno con un'estensione del file .safepay. SafePay rilascia una richiesta di riscatto (readme_safepay.txt) con istruzioni per il pagamento e minacce di esposizione dei dati sui siti di fuga di notizie.

Motivazione e vittime degne di nota

SafePay è un'operazione di ransomware a scopo finanziario, come dimostra l'uso costante della doppia estorsione (crittografia + fughe di dati) e questo testo della nota di riscatto:

Non siamo un gruppo motivato politicamente e vogliamo solo denaro.

Le richieste di riscatto da parte di SafePay sono considerevoli, in genere ammontano all'1-3% del fatturato annuo della vittima. La richiesta di riscatto può essere notevolmente ridotta se la vittima rischia ripercussioni normative per aver pagato il riscatto.

Una delle vittime più importanti di SafePay è Ingram Micro, una società globale di distribuzione e servizi IT. L'attacco è stato confermato all'inizio di luglio 2025, anche se Ingram Micro non ha rivelato il nome dell'attaccante. I ricercatori hanno collegato l'incidente a SafePay sulla base delle prove pubblicate sul sito di fuga di notizie del gruppo e delle informazioni sulle minacce condivise dai servizi di monitoraggio del Dark Web. L'attacco ha interrotto le operazioni principali a livello globale e gli analisti del settore hanno stimato perdite di almeno 136 milioni di dollari in vendite ogni giorno che non riusciva a evadere gli ordini.

SafePay ha attaccato Microlise nell'ottobre 2024. Microlise è una società con sede nel Regno Unito che fornisce soluzioni tecnologiche per la gestione dei trasporti come il monitoraggio della flotta, le comunicazioni con i conducenti, la sicurezza e le condizioni dei veicoli e così via. Questo ha interrotto le operazioni dei clienti Microlise, comprese le consegne DHL e i sistemi di sicurezza nei furgoni per i detenuti utilizzati dal Ministero della Giustizia del Regno Unito.

Proteggiti

La difesa contro il ransomware SafePay richiede una strategia di sicurezza informatica completa. Questo include controlli tecnici come l'autenticazione a più fattori, l'applicazione regolare di patch, il rilevamento e la risposta efficaci degli endpoint e la segmentazione della rete. Sta diventando sempre più importante formare i dipendenti sul vishing e su altri attacchi di social engineering. E, ovviamente, tutte le aziende dovrebbero disporre di una soluzione di backup anti-ransomware completa e i team dovrebbero testare regolarmente il processo di ripristino.

Barracuda può aiutarvi

Non aspettare a proteggerti. Il momento migliore per combattere il ransomware è prima che colpisca. Proteggi la tua attività con soluzioni di protezione dal ransomware che bloccano le e-mail di phishing, proteggono le tue applicazioni web e mettono al sicuro i tuoi dati aziendali critici. Con la guida di esperti di sicurezza informatica, puoi creare un piano di protezione dal ransomware per la tua azienda.