Sebuah ancaman siber baru bernama SafePay ransomware muncul sebagai salah satu operasi kejahatan siber paling produktif di tahun 2025. Hanya dalam kurun waktu dua bulan, SafePay mengklaim telah menyerang 73 organisasi pada Juni, diikuti 42 korban tambahan di bulan Juli.

Lonjakan ini memposisikan SafePay sebagai aktor ancaman signifikan yang harus diwaspadai oleh tim keamanan di seluruh dunia. Berbeda dengan model Ransomware-as-a-Service (RaaS) yang bergantung pada jaringan afiliasi, SafePay beroperasi sebagai grup tertutup yang mandiri dan menjaga ketat keamanan operasionalnya.

Dengan metode serangan yang sangat cepat, SafePay terbukti sangat efektif. Sepanjang tahun 2025, grup ini telah mendokumentasikan lebih dari 270 korban. Operasi mereka menyasar perusahaan skala menengah hingga besar di Amerika Serikat, Jerman, Inggris Raya, dan Kanada.

Target utama mereka adalah industri yang krusial bagi operasional sehari-hari, seperti manufaktur, layanan kesehatan, dan konstruksi. Hal ini sejalan dengan temuan Bitdefender yang menunjukkan industri-industri tersebut paling terdampak oleh serangan SafePay.

Baca Juga: Awas! Serangan Malware Ponsel Melonjak, Jutaan Perangkat Jadi Sasaran

Kemunculan SafePay dapat ditelusuri kembali ke September 2024, tak lama setelah operasi penegakan hukum global berhasil membubarkan ALPHV (Black Cat) dan mengganggu infrastruktur LockBit melalui Operasi Cronos. Analis Bitdefender mengidentifikasi beberapa bagian dari ransomware SafePay yang memiliki kesamaan fungsionalitas dengan LockBit Black, meskipun kedua grup beroperasi dengan metodologi dan proses enkripsi yang berbeda.

SafePay menunjukkan kemampuan yang mengkhawatirkan dengan bisa menjalankan seluruh rantai serangan dalam waktu kurang dari 24 jam, bergerak dari akses awal hingga enkripsi dengan efisiensi yang merusak.

• Algoritma Enkripsi Unik: Malware ini menggunakan algoritma enkripsi ChaCha20, menerapkan kunci simetris yang unik untuk setiap file yang dienkripsi. Pendekatan ini mempersulit upaya pemulihan data korban.
• Menghindari Deteksi: SafePay memiliki kemampuan canggih untuk menghindari deteksi, termasuk menghindari debugger dan mematikan proses yang berhubungan dengan fungsi anti-malware.
• Logika Penargetan Geografis: SafePay juga memiliki karakteristik teknis yang menarik, yaitu deteksi bahasa keyboard. Malware ini tidak akan dieksekusi pada sistem yang menggunakan keyboard dengan aksara Cyrillic, sebuah indikasi adanya kemungkinan hubungan atau aliansi dengan pihak Rusia di ekosistem ancaman siber.

Ketika dieksekusi, SafePay akan segera menghapus volume shadow copies untuk mencegah pemulihan sistem. Setelah itu, ia akan mengenkripsi file dengan ekstensi .safepay dan menyebarkan catatan tebusan berjudul “readme_safepay.txt” di direktori yang terinfeksi.