Se ha convertido en una nueva amenaza de ransomware como una de las operaciones cibercriminales más agresivas de 2025, con el ransomware Safepay que se asumirá responsable de más de 265 ataques exitosos que abarcan múltiples continentes.
El grupo, que apareció por primera vez en septiembre de 2024 con una actividad limitada dirigida a poco más de 20 víctimas, ha intensificado drásticamente sus operaciones desde principios de 2025, estableciéndose como una fuerza formidable en el panorama global de ransomware.
A diferencia de las operaciones tradicionales de ransomware como servicio que dependen de las redes de afiliados, Safepay opera como un actor de amenaza centralizado, realizando ataques directamente a través de su propia infraestructura y personal.
Sitio de fuga de datos de Ransomware de Safepay (DLS) (Fuente – Sócradar)
Este modelo operativo ha permitido al grupo mantener un control más estricto sobre sus campañas al tiempo que ejecuta esquemas de doble extensión sofisticados que combinan el cifrado de datos con una publicación amenazada de información sensible a los robados en sitios de fugas web oscuras.
La distribución geográfica de las víctimas de Safepay revela una estrategia de orientación calculada centrada principalmente en las economías desarrolladas.
Estados Unidos lleva la peor parte de los ataques con 103 víctimas confirmadas que representan casi el 40% de todos los casos conocidos, seguidos por Alemania con 47 incidentes documentados.
Los objetivos adicionales abarcan el Reino Unido, Australia, Canadá y varios países en las regiones de América Latina y Asia-Pacífico.
Analistas de Socradar identificado que Safepay evita deliberadamente dirigirse a organizaciones dentro de los países de los estados independientes a través de un mecanismo de detección de idiomas integrado.
El malware contiene controles codificados que causan una terminación inmediata si el sistema infectado está configurado para idiomas armenios, azarijari, bielorruso, georgiano, kazajos, rusos o ucranianos, lo que sugiere que los operadores buscan evitar el enjuiciamiento dentro de estas jurisdicciones.
El ransomware demuestra una efectividad particular contra los sectores de fabricación, tecnología, educación y servicios comerciales, aunque ninguna industria parece inmune a su alcance.
Las organizaciones de salud, transporte, finanzas y servicios públicos también han sido víctimas de las operaciones del grupo, lo que indica un enfoque de orientación oportunista en lugar de sector específico.
Mecanismos avanzados de persistencia y evasión
La sofisticación técnica de Safepay se hace evidente a través de sus estrategias de evasión de persistencia y defensa de varias capas.
Diagrama simplificado de la cadena de ciber matar de ransomware Safepay (fuente – Sócradar)
El malware emplea herramientas de acceso remoto legítimos, como la pantalla de screenconnect de conexión conectada para mantener la presencia de la red a largo plazo, instalando estas aplicaciones como servicios persistentes que se combinan sin problemas con las actividades administrativas legítimas.
Este enfoque reduce significativamente la probabilidad de detección por parte de los sistemas de protección del punto final, particularmente cuando los atacantes poseen credenciales válidas para la instalación. Las capacidades de evasión de defensa del grupo se extienden más allá de las simples técnicas de derivación antivirus.
Los operadores de Safepay deshabilitan sistemáticamente Microsoft Defender y otras soluciones de seguridad a través de comandos administrativos y modificaciones de políticas de grupo, agregando exclusiones de carpetas y deshabilitando las características de protección en tiempo real.
Nota de rescate de ransomware Safepay (fuente – Sócradar)
El malware en sí utiliza cadenas encriptadas, carga dinámica y mecanismos de empaque sofisticados para evadir sistemas de detección basados en la firma.
# Ejemplo Comando utilizado para deshabilitar el defensor de Windows set -mppreference -disableRealTimemonitoring $ verdadero set -mppreference -disableBehaviormonitoring $ true add -mppreference -exclusionPath “c: \ windows \ temp”
Los mecanismos de persistencia del registro aseguran que el malware sobrevive a los reiniciados del sistema y mantiene el acceso incluso después de que se descubren y remedien los vectores de compromiso inicial.
Los actores de amenaza crean entradas de inicio y modifican las configuraciones del sistema para garantizar que sus herramientas permanezcan activas, al tiempo que implementan las puertas traseras personalizadas como Qdoor para la ejecución adicional de la ejecución de comandos y las capacidades de túnel de red.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
