SafePay

Dans un récent incident de réponse, l’équipe de Digital Forensics and Incident Response (DFIR) a découvert que le ransomware SafePay avait été déployé sur les machines des victimes. La première activité confirmée de ce ransomware remonte à septembre 2024, et depuis, le groupe responsable a intensifié ses activités, ajoutant de plus en plus de victimes à son site de fuite de données (DLS). Les cibles de ce groupe incluent à la fois le secteur public et privé à travers le monde, avec des victimes notables aux États-Unis et au Royaume-Uni. Dans le cas étudié par Proven Data, les fichiers chiffrés portaient l’extension .safepay, et la note de rançon était nommée readme_safepay.txt. ...

L’article de BleepingComputer rapporte une attaque par ransomware contre Ingram Micro, un géant de la distribution technologique B2B. Depuis jeudi, les systèmes internes de l’entreprise sont en panne. L’attaque a été identifiée comme provenant de l’opération SafePay, un acteur actif en 2025. Les employés ont découvert des notes de rançon sur leurs appareils, bien que l’on ne sache pas si les données ont été effectivement chiffrées. Ingram Micro, qui fournit des services variés, dont des solutions matérielles et logicielles, n’a pas initialement divulgué la cause des problèmes, mais a depuis confirmé l’attaque. ...

Cyble, une entreprise spécialisée en cybersécurité, a publié de nouvelles informations concernant les groupes de ransomware les plus actifs en mai 2025. Dans ce rapport, Cyble met en avant les groupes SafePay et DevMan qui dominent actuellement la scène des ransomwares. Ces groupes sont identifiés comme étant particulièrement actifs et représentent une menace significative pour les entreprises et les particuliers. Le rapport de Cyble fournit des détails sur les méthodes utilisées par ces groupes, soulignant l’évolution constante des techniques d’attaque et l’importance de rester vigilant face à ces menaces. Les entreprises sont encouragées à renforcer leurs mesures de sécurité pour se protéger contre ces attaques. ...

DCSO a rapporté un incident de sécurité impliquant un de ses clients, victime d’une campagne de ransomware orchestrée par le groupe SafePay. SafePay utilise une stratégie de double extorsion, combinant le vol de données et leur chiffrement pour faire pression sur les victimes. Ce groupe n’hésite pas à contacter directement les victimes, y compris par appels téléphoniques, pour accroître la pression et forcer le paiement. Bien que le ransomware SafePay présente des similitudes avec d’autres souches de ransomware, DCSO estime que cela résulte d’une inspiration plutôt que d’une origine commune. SafePay cible principalement des entreprises situées en Allemagne et aux États-Unis. ...