Ransomware SafePay: Una amenaza emergente en 2025
SafePay es un grupo de ransomware nuevo y sofisticado en 2025. Aunque solo se identificó en septiembre de 2024, el ransomware SafePay se hizo rápidamente muchas víctimas, convertir en uno de los 10 grupos activos más activos en el primer trimestre de 2025.
Mostrando infiltración avanzada en rojo y datos cifrado/exfiltración, SafePay supone una amenaza significativa en 2025.
Aunque se sabe poco sobre el propio grupo, expertos del sector analizaron ataques anteriores para identificar las tácticas de ransomware de SafePay. Comprender sus métodos ayuda a detectar ataques de ransomware e implementar protecciones que te mantengan seguro.
Ransomware en 2025: Un aumento récord
La aparición de SafePay llega en un momento récord para ataques de ransomware.
Los datos del Reporte Global de Ciberataques del primer trimestre de 2025 muestran un aumento del 126% en los ataques ransomware en comparación con el año anterior. Este auge de ransomware en 2025 está ocurriendo a pesar de la caída de dos grandes actores el año anterior: LockBit y ALPHV.
Una operación coordinada de derecho internacional en 2024 condujo a:
- La incautación de los sitios de filtración de datos de LockBit
- La publicación de los datos internos del grupo (incluidas las claves de descifrado)
- La exposición de su afiliada roja
Este desmantelamiento de las operaciones e infraestructuras de LockBit redujo significativamente la actividad del grupo.
La mayor divulgación de las comunicaciones internas provocó una pérdida de credibilidad en la industria, convirtiendo al grupo de ransomware como servicio (RaaS) en una sombra de lo que fue. A finales de 2023, una operación policial interrumpió las operaciones de ALPHV. Tras una breve recuperación, el grupo cesó sus operaciones a principios de 2024.
Tras un ataque a Change Healthcare, ALPHV:
- Retuvo todos los 22 millones de dólares del rescate
- Se negó a compartirlo con la filial que lanzó el ataque
- Falsificaron un aviso de incautación en su sitio de filtración de datos
- Anunciado el fin de ALPHV
El cierre de estos dos grupos provocó una fragmentación en el ecosistema de ransomware.
Operadores consolidados (por ejemplo, RansomHub, Akira) y nuevos actores, como SafePay, compiten ahora para cubrir la carencia y atraer a nuevos afiliados que antes trabajaban con LockBit y ALPHV.
¿Quién es el grupo de ransomware SafePay?
SafePay es un nuevo grupo de ransomware, con su primera actividad confirmada en septiembre de 2024. Desde entonces, los actores de amenazas de SafePay se convirtieron rápidamente en actores serios en este sector.
Datos del Reporte sobre el Estado de la Ciberseguridad de Check Point revelaron que SafePay representaba el 5% de las víctimas reportadas en noviembre de 2024. Esta actividad sigue creciendo en 2025, con el reporte sobre el estado del ransomware en el primer trimestre de 2025 que encontró 77 víctimas declaradas públicamente, lo que convierte a SafePay en la novena variante ransomware más prevalente.
Un ataque temprano de alto perfil
Un ataque de ransomware de alto perfil temprano de SafePay que atrajo mayor atención al grupo fue el ataque a la compañía británica de telemática Microlise.
- En octubre de 2024, la compañía reveló por primera vez que fue víctima de un incidente cibernético.
- En noviembre de 2024, salieron a la luz detalles del ataque, con SafePay afirmando robar 1,2 terabytes de datos, exigiendo el pago en menos de 24 horas.
Un grupo de cibercrimen esquivo
A pesar del auge de ransomware de SafePay en 2025, se sabe poco sobre el grupo:
- Apenas hay debate en foros o salas de chat de la dark sitio web
- No se divulgó públicamente información sobre los miembros o la ubicación del grupo
Sin embargo, SafePay sí lo hace:
- Mantén un blog en la dark sitio web
- Emplea The Open Red (TON) para comunicarte con las víctimas
- Operar un sitio de filtración de Tor listando víctimas anteriores reclamadas
Similitudes y tácticas en el código
Las investigaciones sobre los ataques de ransomware de SafePay revelaron que el binario de ransomware del grupo comparte similitudes con una versión de LockBit de finales de 2022. Sin embargo, SafePay también incorpora elementos empleados por otros grupos de ransomware, incluyendo ALPHV e INC Ransom.
Tácticas destacadas de SafePay a fecha de 2025 incluyen:
- Tiempos de cifrado rápidos
- Los ataques suelen pasar de una brecha a una implementación en menos de 24 horas
Los ataques de ransomware SafePay aún están bajo investigación en 2025 para evaluar completamente las capacidades globales del grupo
Víctimas de SafePay
SafePay se dirige a víctimas de una amplia variedad de sectores, tanto públicos como privados.
Su auge de ransomware en 2025 se centra en objetivos en Estados Unidos, Reino Unido y Alemania. Hubo ejemplos de SafePay lanzando oleadas de ataques, a veces 10+ al día, tanto en Estados Unidos como en Alemania. Las estadísticas del reporte Estado del ransomware en el primer trimestre de 2025 muestran un alto nivel de actividad en Alemania.
- El 24% de todas las víctimas de ransomware reportadas en Alemania en el primer trimestre de 2025 estaban vinculadas a SafePay
- Según la investigación de Check Point, este es el porcentaje más alto para un solo grupo de ransomware en cualquier país
Esto sugiere que SafePay pretende establecer una presencia importante en Alemania durante 2025.
Tácticas y estrategia de segmentación de SafePay
SafePay obtiene acceso inicial usando credenciales válidas que probablemente se compran en mercados de la dark sitio web.
Acceden a la terminal objetivo mediante estas credenciales y una VPN puerta de enlace. También se espera que el grupo lance ataques explotando vulnerabilidades VPN conocidas.
El análisis de las tácticas de ransomware SafePay muestra que el grupo emplea un método de varias etapas que normalmente comienza con el acceso mediante el Protocolo de Escritorio Remoto. Los actores de amenazas SafePay desactivan medidas de seguridad como Windows Defender usando Living Off the Land Binaries (LOLBins).
El software de SafePay tiene un diseño modular sofisticado que incluye características para:
- Escalada de privilegios
- Circunvalación UAC
- Propagación roja
Otras herramientas como WinRaR y FileZilla archivan y exfiltran los datos.
Los archivos cifrados tienen el archivo . Se les agregó una prórroga de SafePay.
En ataques anteriores de ransomware de SafePay, la nota de rescate está en un archivo titulado readme_SafePay.txt. Para mejorar la tasa de éxito del ataque, las tácticas de ransomware de SafePay incluyen:
- Desactivar opciones de recuperación
- Eliminar copias en sombras.
Una vez que el ransomware se despliega, SafePay presiona a las víctimas para que paguen mediante doble extorsión.
- Cifran los datos de la víctima, interrumpiendo las operaciones empresariales
- Exfiltran estos datos, amenazando con hacerlos públicos en su sitio de filtración si no se paga el rescate.
Una similitud notable con las variantes de ransomware LockBit es la capacidad de SafePay para dirigir y adaptar estratégicamente basar en códigos fuente filtrados. Por ejemplo, ataques anteriores en Europa del Este se vieron incorporar un interruptor de apagado cirílico. Este nivel de sofisticación demuestra la necesidad de controles de seguridad avanzados y monitorización terminal.
Defensa frente a ataques de ransomware de SafePay y amenazas similares
Existen indicadores específicos de las tácticas de ransomware de SafePay que pueden ayudarte a identificar ataques y desarrollar nuevas normas de seguridad. Entre ellas se encuentran:
- Detectar UAC evade los que SafePay emplea para la escalada de privilegios y así propagar sus ataques y comprometer más sistemas tras el acceso inicial.
- SafePay suele cambiar manualmente la protección contra virus y amenazas Configuraciones que la mayoría de los usuarios no tocarían. Esto significa que puedes identificar ataques de ransomware de SafePay monitorizando cualquier manipulación de la configuración de Windows Defender.
- Los ataques de ransomware del grupo emplean WinRAR para archivar datos antes de la exfiltración. Estos comandos también son poco comunes durante el uso típico de WinRAR, ofreciendo un posible mecanismo de detección.
Cómo prevenir el ransomware SafePay: 5 mejores prácticas
Controles de seguridad y mejores prácticas de ransomware más generales que ayudarán a tu organización a prevenir ataques de ransomware SafePay y amenazas similares incluyen:
- Controles de acceso estrictos basados en el principio de privilegio mínimo, de modo que los usuarios solo tengan acceso a lo que necesitan. Esto limita la propagación de ataques de ransomware al impedir el movimiento lateral hacia nuevos sistemas.
- Estos Controles de acceso debe estar respaldado por procesos de autenticación fuertes basados en confianza cero, obligando a los usuarios a demostrar continuamente su identidad. Una técnica común es hacer cumplir la autenticación de múltiples factores (MFA).
- Rápido y efectivo Detección y respuesta a incidentes capacidades que incluyen la copia de seguridad de datos en almacenamiento físicamente separado y estrategias de recuperación ante desastres.
- Procesos de gestión de actualizaciones que monitorizan vulnerabilidades recién descubiertas e instalan automáticamente los últimos parches para máxima seguridad.
- Implementando conexiones VPN seguras para acceso remoto. De nuevo, cerciórate de que la VPN ofrece procedimientos de autenticación mejorados como MFA.
Protección mejorada contra ransomware con Check Point
Para proteger tu negocio frente al ransomware SafePay y otras amenazas emergentes, necesitas una solución de protección contra ransomware en la que puedas confiar. Check Point Endpoint Security de Check Point ofrece una seguridad de terminales completa para detectar ataques ransomware y minimizar su impacto.
Descubre más sobre Check Point Endpoint Security leyendo su reporte de solución o aplicar una demostración.
