L’Acronis Threat Research Unit (TRU) segnala la diffusione di SafePay, un gruppo ransomware emerso in modo silenzioso ma particolarmente aggressivo nel corso del primo trimestre del 2025. In pochi mesi, SafePay ha colpito oltre 200 organizzazioni in tutto il mondo, con una chiara predilezione per i Managed Service Provider (MSP) e le piccole e medie imprese, indipendentemente dal settore di appartenenza.
La ricerca evidenzia come il gruppo operi con un controllo diretto delle operazioni, senza affidarsi a un modello RaaS (Ransomware-as-a-Service), e impieghi tecniche classiche ma ancora estremamente efficaci per ottenere l’accesso ai sistemi, disattivare le difese, esfiltrare dati sensibili e procedere alla crittografia dei file. Tra gli aspetti più rilevanti messi in luce da Acronis, anche le forti somiglianze tra SafePay e il ransomware LockBit, che suggeriscono un possibile riutilizzo del codice sorgente trapelato negli anni precedenti.
I dettagli tecnici dell’analisi includono una descrizione approfondita delle modalità di infezione, dei meccanismi di esecuzione e delle strategie utilizzate per eludere il rilevamento, confermando l’elevato livello di sofisticazione del malware.
