Se ha convertido en una nueva amenaza de ransomware como uno de los adversarios más formidables en el panorama de ciberseguridad, lo que demuestra un crecimiento y sofisticación sin precedentes en su metodología de ataque.
El ransomware Safepay, que apareció por primera vez en 2024, ha evolucionado rápidamente de una entidad relativamente desconocida a uno de los grupos de ransomware más activos a nivel mundial, reclamando más de 200 víctimas en todo el mundo en solo el primer trimestre de 2025.
El malware se dirige principalmente a los proveedores de servicios administrados (MSP) y a las pequeñas empresas (SYMS) en diversas industrias, utilizando una combinación de técnicas de intrusión de protocolo de escritorio remoto (RDP) y redes privadas virtuales (VPN) para penetrar en redes organizativas.
El grupo de ransomware opera con una estructura de control centralizada, que se distingue del modelo típico de ransomware como servicio (RAAS) empleado por muchos actores de amenazas contemporáneas.
Este enfoque operativo permite a Safepay mantener la supervisión directa de su infraestructura, negociaciones de víctimas y ejecución de ataque, lo que resulta en campañas más coordinadas y efectivas.
La rápida ascensión del grupo a la prominencia se destacó por su participación en el ataque de alto perfil contra Ingram Micro, un distribuidor global que atiende a miles de socios y MSP, lo que demuestra la capacidad del malware para interrumpir la infraestructura crítica de la cadena de suministro.
Analistas de Acronis identificado Similidades significativas entre Safepay y la infame familia de ransomware Lockbit, particularmente el Builder Lockbit 3.0 cuyo código fuente se filtró en 2022.
El análisis técnico revela que Safepay emplea tácticas clásicas pero altamente efectivas, incluida la desactivación de los sistemas de protección de puntos finales, la eliminación de copias en la sombra y la eliminación sistemática de los registros del sistema para suprimir las capacidades de detección y respuesta a incidentes.
Los mecanismos de persistencia del malware y las técnicas de evasión muestran una comprensión sofisticada de las arquitecturas de seguridad empresariales y las medidas defensivas.
El ransomware se manifiesta como un archivo DLL PE32 con una marca de tiempo de compilación falsificada deliberadamente, que requiere parámetros de ejecución específicos para que funcionen correctamente. Safepay implementa un modelo de doble extorsión, combinando la exfiltración de datos con el cifrado de archivos para maximizar la presión sobre las víctimas.
La sofisticación técnica del malware es evidente en el uso de binarios vivos de la tierra, lo que le permite combinarse sin problemas con los procesos legítimos del sistema y evadir los métodos de detección basados en la firma tradicionales.
Mecanismo de infección y exfiltración de datos
El mecanismo de infección de Safepay depende en gran medida de las conexiones RDP comprometidas y las credenciales de VPN, aunque los métodos exactos de adquisición de credenciales siguen sin estar claros.
Flujo de ataque (Fuente – Acronis)
Una vez dentro de la red de destino, el malware ejecuta una secuencia de operaciones cuidadosamente orquestada diseñada para maximizar la recopilación de datos al tiempo que minimiza la detección.
El ransomware emplea el script ShareFinder.Ps1, procedente de un proyecto PowerView de código abierto, para enumerar todas las acciones de red disponibles dentro del dominio local.
Esta fase de reconocimiento permite al malware identificar objetivos de alto valor y asignar la infraestructura de red de manera integral.
El proceso de recopilación de datos utiliza Winrar con parámetros de línea de comandos específicos para archivar archivos confidenciales al tiempo que excluye ciertos tipos de archivos para optimizar la eficiencia de almacenamiento y transmisión.
El comando de archivo excluye sistemáticamente archivos multimedia, ejecutables y otros formatos de datos no críticos, centrándose en lugar de documentos, bases de datos y archivos de configuración que generalmente contienen información comercial valiosa.
Después del proceso de archivo, Safepay implementa el software del cliente Filezilla para exfiltrar los archivos comprimidos a los servidores de comando y control, después de lo cual tanto Winrar como Filezilla se eliminan sistemáticamente de los sistemas comprometidos para eliminar la evidencia forense.
La rutina de cifrado del ransomware emplea una combinación robusta de algoritmos AES y RSA, generando claves AES únicas de 32 bytes para cada archivo antes de cifrar esas claves con criptografía de claves públicas RSA.
Este enfoque de cifrado de doble capa garantiza que incluso si un componente se ve comprometido, la seguridad general de los datos cifrados permanece intacta.
Safepay agrega la extensión .Safepay a archivos cifrados y requiere una contraseña de 32 bytes para la ejecución completa, implementando múltiples salvaguardas contra análisis e intentos de ingeniería inversa.
Investigue el comportamiento de malware en vivo, rastree cada paso de un ataque y tome decisiones de seguridad más rápidas y inteligentes -> Prueba cualquiera.
