Im November 2024 wurde erstmals eine neue Ransomware-Gruppe aktiv. Die Cyberkriminellen, die unter dem Namen SafePay agieren, waren zunächst primär in Deutschland aktiv. So haben die Cybersecurity-Expert:innen von Check Point im ersten Quartal 2025 festgestellt, dass 24 Prozent aller Ransomware-Angriffe in Deutschland von SafePay durchgeführt wurden. In den vergangenen Wochen und Monaten hat die Gruppierung aber offenbar expandiert.

In einem neuen Bericht von Check Point betonen die Sicherheitsexpert:innen, dass SafePay jetzt weltweit aktiv ist. Nicht nur das: Sie haben es auch auf den ersten Platz der schlimmsten Ransomware-Gruppen geschafft. So haben die Cyberkriminellen innerhalb weniger Monate mehr als 200 Unternehmen erpresst. Mittlerweile stammt nur noch ein Fünftel aller Ziele aus Deutschland. Da die Ransomware kyrillische Sprache enthält, wird vermutet, dass die Gruppierung aus Russland heraus agiert.

Der Ransomware-Angriff von SafePay setzt auf doppelte Erpressung. So werden Daten auf den Systemen der Ziele nicht nur verschlüsselt, sondern gleichzeitig kopiert und an die Drahtzieher:innen weitergeleitet. Das soll den Druck auf die Unternehmen erhöhen, die geforderte Lösegeldsumme zu bezahlen. Um das Geld zu bekommen, soll die Gruppe zudem aggressiv vorgehen und etwa ihre Ziele direkt anrufen. Zudem gibt es eine „Seite der Schande“, wo die gestohlenen Daten von Unternehmen veröffentlicht werden, die nicht bezahlen.

Auf dem zweiten Platz der Check-Point-Liste steht die Ransomware-Gruppe Qilin. Ihre Software ist ebenfalls auf Unternehmen als Ziele spezialisiert, zielt aber wohl vorwiegend auf Organisationen im Bildungs- und Gesundheitssektor ab. Das Besondere daran ist, dass die Verantwortlichen die Software nur an andere Gruppen verkaufen und nicht selbst einsetzen. Die Ransomware wird anschließend von den Angreifer:innen per Phishing-Mail eingeschleust und durchforstet dann das gesamte Netzwerk nach wertvollen Daten.

Den dritten Platz nimmt die Gruppierung Play ein. Schon seit 2022 gibt es Angriffe mit dieser Ransomware, die hauptsächlich bei Zielen in Nordamerika, Südamerika und Europa eingesetzt wird. Statt auf Phishing als Einfallstor zu setzen, nutzt Play kompromittierte Accounts von Mitarbeiter:innen oder sucht Sicherheitslücken im System der Unternehmen.

Abschließend raten die Sicherheitsexpert:innen Unternehmen, proaktiv auf die Gefahren einzugehen. Da die Angriffe immer ausgeklügelter werden, müssen auch die Sicherheitsvorkehrungen mehrere Verteidigungslinien aufweisen. Gerade Bildungseinrichtungen, Behörden und Telekommunikationsunternehmen, die zu den Top-3-Zielen von Ransomware-Gruppen gehören, sollten sich schützen, bevor sie ins Visier geraten.