Het klinkt als een app voor bankieren, maar het is een van de meest actuele ransomwaregroepen: SafePay. Wie zijn de daders van de ransomware-aanval op Ingram Micro, waardoor laatstgenoemde al ruim vier dagen offline is?
Zelfs na een ongetwijfeld stressvol weekend is IT-distributeur Ingram Micro nog steeds onbereikbaar. Op moment van schrijven toont de website van de leverancier enkel een kort bericht over een cyberincident, met een externe link voor meer informatie. Het moge duidelijk zijn: de cyberaanval is succesvol geweest. Inmiddels is bevestigd dat het om een ransomware-aanval gaat, die is opgeëist door SafePay. De groep is relatief jong, maar komt met een oude vertrouwde cybercriminele eis: Ingram Micro heeft zeven dagen om te betalen. Geld is overigens naar eigen zeggen de enige motivatie van de groep.
Lees ook: Ingram Micro al bijna dag onbereikbaar door storing
SafePay doet het anders
Allereerst moeten we de naam van SafePay ondubbelzinnig maken. Het heeft geen enkele connectie met SafePay, een Nederlands automatisch betaalsysteem voor gemeenten, of een Pakistaans fintech-platform. In plaats daarvan is het een vrij innovatieve ransomware-groep. Het opereert namelijk niet vanuit een Ransomware-as-a-Service-model (RaaS), waarbij een affiliate-netwerk onafhankelijk de malafide software verspreidt en het losgeld deelt met de ransomware-ontwikkelaar. SafePay kiest echter voor een gesloten systeem, waarbij het de touwtjes in handen houdt als het gaat om het gebruik van de ransomware.
In het snel verschuivende cybercrime-landschap is er telkens een nieuwe koploper. Conti en LockBit gelden als voormalige marktleiders, terwijl Akira, Qilin en Play al enige tijd een beruchte reputatie opbouwen. In een rapport van NCC Group kwam SafePay echter als “winnaar” uit de bus met 70 aanvallen in mei 2025, 18 procent van de totaal gemeten compromissen.
Elders wordt gesuggereerd dat de groep bestaat uit voormalige leden van onder meer LockBit, BlackCat en INC. Dit, in tegenstelling tot het afstappen van RaaS, is uiterst gebruikelijk. Net als andere ransomware-varianten heeft het eveneens een uitzondering voor onbedoelde slachtoffers. Wie de eigen computer instelt op Russisch, Oekraïens, Armeens, Azerbeidjaans, Wit-Russisch, Georgisch of Kazachs, is gevrijwaard. Over taal gesproken: SafePay zou geen gebruikmaken van waarachtig klinkende teksten in phishing-mails. In plaats daarvan exploiteert het gestolen credentials, net als vele andere groeperingen op de darkweb. Er is een grote markt voor dergelijke inloggegevens, dus SafePay zou deze informatie wellicht simpelweg inkopen.
Impact
Voor slachtoffers is de impact potentieel enorm. Voor Ingram Micro is dit al een duistere werkelijkheid. De reputatieschade, zo lijkt het, heeft al plaatsgevonden. Een zeer tekortkomende communicatie leidde al direct eind vorige week tot grote frustratie onder klanten. “Ik kan niet geloven dat het bijna 24 uur duurt en er geen enkele feedback is over wat er aan de hand is”, schreef een gebruiker op vrijdag.
Omdat Ingram Micro deel is van een grotere digitale toeleveringsketen, ondervinden ook MSP’s wereldwijd problemen. Zij kunnen hun klanten niet bedienen omdat ze geen toegang hebben tot de benodigde systemen. Het gaat daarbij om zowel software als hardware, waaronder kritieke backup-licenties.
Inmiddels is Ingram Micro weer iets communicatiever. Op zaterdag bevestigde men de ransomware-aanval. SafePay constateert dat het van “een aantal fouten” gebruik heeft gemaakt; Ingram zou het eigen IT-netwerk onvolledig hebben beveiligd en daardoor SafePay naar eigen zeggen veel tijd hebben gegeven om rond te kijken. De exploitatie van deze misconfiguratie is volgens de groep “een betaalde trainingssessie voor jouw systeemadministrateurs.” Een bron meldt aan BleepingComputer dat GlobalProtect, de VPN van Ingram Micro, gold als de aanvalsroute.
De vraag is of Ingram daadwerkelijk betaalt. Zelfs dan zijn er geen garanties, hoewel SafePay vermoedelijk niet bij een dermate publieke aanval gezien wil worden als een ransomwaregroep die ook nog eens de eigen belofte niet waarmaakt. Verwijdert men namelijk de data permanent als het slachtoffer het losgeld betaalt, dan zal niemand SafePay nog tegemoet willen komen na een compromis.
Lees ook: Ook betalende slachtoffers verliezen hun data bij Anubis-ransomware