SafePayとDevMan、新たな有力ランサムウェア脅威として浮上

佐々山 Tacos

2025.10.17

SafePayとDevMan、新たな有力ランサムウェア脅威として浮上

The Cyber Express – June 3, 2025

Cybleが公開した2025年5月のランサムウェアランドスケープレポートによると、ランサムウェアグループSafePayおよびDevManの2組が新たな懸念すべき脅威として飛躍を見せているという。

SafePayは2024年の秋に初めて浮上したランサムウェアグループで、主なターゲットは米国やドイツのプロフェッショナルサービスや建設、ヘルスケア、教育、製造部門。ほかの多くのグループとは異なり、RaaSサービスは提供していないことで知られる。盗難認証情報やパスワードスプレー攻撃を使い、VPNやRDP接続を介して組織へ侵入するのが一般的で、侵入後はデータ窃取と暗号化を行い、二重恐喝を行うという。

Cybleは5月にランサムウェアグループのリークサイトへ掲載された被害組織数を384組と報告しているが、このうち58組はSafePayによるもので、4月に首位だったQilinを抜き全グループのトップに立った。なお、5月のリークサイト掲載組織数上位5グループは以下の通り。

1位：SafePay（リークサイトに掲載した被害組織：58組）
2位：Qilin（54組）
3位：Play（41組）
4位：Akira（34組）
5位：NightSpire（16組）

SafePayに加え、Cybleが注目しているのがDevMan。同グループはほかのRaaSグループ（Qilin、Apos、DragonForce）のアフィリエイトとしても活動する一方で、最近独自のランサムウェアを展開するのが観測されるようになった。DevManが5月に掲載した被害組織数は13組で、前述のNightSpireに次ぐ6位にランクインしている。

かつてトップをひた走っていたRansomHubが姿を消して以後、被害組織の総数は3か月連続で減少しているものの、5月にはVanHelsing（RaaS）のソースコードがリークされていることから、今後これを使った模倣グループや新種のランサムウェアの出現が加速する恐れが懸念されるという。Cybleは、新たなランサムウェアグループが過去のリーダーたちに取って代わっていく動きが「ランサムウェアの絶え間ない脅威を浮き彫りにし、多様なサイバー脅威から保護するためのサイバーセキュリティのベストプラクティスの持続的な重要性を強調している」と述べた。同社はまた、ソフトウェアサプライチェーンに多大な影響を与えた攻撃の数々や、5月に新たに出現した3グループ（Dire Wolf、DATACARRY、J）などについても触れている。