Alles, was man über die Ransomware-Gruppe Quilin und SafePay wissen sollte
Die Gruppe namens Qilin ist eine russischsprachige Cyberkriminalitätsgruppe. Sie ist seit Oktober 2022 aktiv und nutzt ein Modell namens „Ransomware as a Service“. Das bedeutet, andere Kriminelle dürfen ihre Schadsoftware nutzen und müssen dafür einen Teil des Lösegelds abgeben. Quilin hat zahlreiche Unternehmen angegriffen, darunter Dienstleister im Gesundheitswesen wie Labore in London. Ein solcher Angriff führte dazu, dass dort Operationen und Termine abgesagt werden mussten.
Qilin hat auch andere Ziele getroffen: einen Verlag („Big Issue“) und ein US-Unternehmen namens Skender Construction – sie stahlen große Datenmengen, darunter Ausweis-Scans, Gehaltsdaten und weitere sensible Informationen.
Die Ransomware-Gruppe Qilin arbeitet nach einem einfachen, aber gefährlichen Muster:
Zuerst verschaffen sich die Kriminellen Zugang zu einem Computer-Netzwerk. Das gelingt oft über gestohlene Passwörter, unsichere Fernzugänge oder über Schadsoftware, die per E-Mail verschickt wird. Sobald sie im System sind, suchen sie nach wichtigen Daten und kopieren diese. Danach verschlüsseln sie die Computer und Server, sodass die betroffenen Firmen nicht mehr arbeiten können.
Qilin nutzt ein Geschäftsmodell namens „Ransomware as a Service“. Das bedeutet: Sie stellen ihre Schadsoftware auch anderen Kriminellen zur Verfügung. Diese führen die Angriffe aus und teilen dann das erpresste Geld mit Qilin.
Besonders auffällig ist, dass Qilin nicht nur Daten klaut und sperrt, sondern ihren „Kunden“ auch Zusatzleistungen anbietet. Dazu gehört zum Beispiel eine juristische Prüfung der gestohlenen Daten. Damit können die Täter den Opfern drohen, dass Behörden wie das Finanzamt oder die Polizei auf mögliche Gesetzesverstöße aufmerksam gemacht werden. Das erhöht den Druck, das Lösegeld zu bezahlen.
Bei SafePay handelt es sich um eine sehr aktive und aggressive Ransomware-Gruppe. Sie ist erstmals im Spätsommer 2024 beobachtet worden und hat seitdem über 200 Angriffe dokumentiert. Die Gruppe nutzt doppelte Erpressung: Sie verschlüsselt Daten, stiehlt sie aber auch und droht mit Veröffentlichung, wenn kein Lösegeld bezahlt wird.
SafePay greift oft Unternehmen in den USA, Großbritannien und vor allem in Deutschland an. Im ersten Quartal 2025 entfielen etwa 24 Prozent aller dokumentierten Ransomware-Angriffe in Deutschland auf SafePay.
Typische Methoden von SafePay sind: Zugang über VPN- oder RDP-Verbindungen, Einsatz von System-Tools wie PowerShell, Ausschalten von Sicherheitssoftware und schnelles Vorgehen – von der ersten Lücke bis zur Verschlüsselung kann es weniger als einen Tag dauern. Dateien erhalten oft die Endung „.safepay“ und Hinterlassung ist eine Datei namens „readme_safepay.txt“.
Auch in Deutschland gab es mehrere Fälle, bei denen SafePay Angriffe meldete. Laut Berichten auf Reddit wurden unter anderem die Websites von Firmen wie bohrerhof.de, schuhbode.de, tieraerzte-warburg.de und willms-fleisch.de kompromittiert.
SafePay ist eine neuere, aber sehr aktive Gruppe, die insbesondere in Deutschland stark zugeschlagen hat – mit zahlreichen Angriffen über VPN oder RDP, doppelter Erpressung und schnellem Vorgehen.
Was Unternehmen jetzt tun sollten
Unternehmen können sich nicht zu hundert Prozent vor Ransomware schützen, aber sie können das Risiko stark verringern. Wichtig ist vor allem, alle Systeme regelmäßig mit Sicherheitsupdates zu versorgen. Mitarbeiter sollten lernen, verdächtige E-Mails oder Links zu erkennen und sofort zu melden. Dazu bieten wir von der siplan auf Facebook eine Reihe „SONICHT“ mit praktischen Beispielen an. Starke Passwörter und die Nutzung von Zwei-Faktor-Anmeldung 2F machen es Angreifern zusätzlich schwerer.
Sehr wichtig sind auch Datensicherungen. Alle Firmen müssen ihre Daten regelmäßig sichern – am besten getrennt vom eigentlichen Netzwerk. So lassen sich wichtige Informationen im Ernstfall wiederherstellen, ohne Lösegeld zu zahlen. Ebenso sollte es einen Notfallplan geben, damit klar ist, wer im Unternehmen im Fall eines Angriffs welche Schritte übernimmt.
Darüber hinaus lohnt es sich, externe Sicherheitsexperten wie die @siplan.at einzubeziehen, die Netzwerke prüfen und Schwachstellen schließen können. Wer vorbereitet ist, kann im Fall eines Angriffs schneller reagieren und den Schaden deutlich begrenzen.