Ransomware Safepay (Actualización)

Este ransomware ha estado presente desde finales del año 2024 y desde que inició su operación ha ido ganando notoriedad entre los grupos de ransomware debido a que se ha posicionado entre las amenazas mas peligrosas. El número de víctimas que se han detectadas de esta amenaza ha llamado la atención de especialistas de Inteligencias de amenazas por que se ha disparado a 248 víctimas, esto convierte a la amenaza en un foco que se tiene que mantener monitoreado para conocer sus tácticas y técnicas más recientes. 

 

Esta amenaza ha sido identificada como una herramienta activa utilizada por ciberdelincuentes para comprometer sistemas vulnerables, encriptar la información crítica de empresas o usuarios, y posteriormente exigir un pago económico a cambio de la clave para recuperar los datos. El proceso de infección de SafePay suele comenzar con una campaña de phishing dirigida, utilizando correos electrónicos que aparentan ser legítimos. Estos correos contienen archivos adjuntos infectados o enlaces comprometidos, una vez que el usuario abre el archivo o visita el enlace, el malware se descarga e instala silenciosamente en el sistema. Las técnicas más utilizadas por SafePay es la ejecución de scripts para finalizar procesos y eliminar copia de seguridad esto para impedir la recuperación de sus víctimas. En redes empresariales, se ha observado que utilizan PsExec y otras herramientas para propagarse lateralmente y cifrar la mayor cantidad de archivos.  

 

Entre los países más atacados por SafePay se encuentra Estados Unidos, Alemania, México, Reino Unido, Australia, Canadá y algunos países del sudeste asiático y Europa del Este. Estos países son comúnmente elegidos por su alto volumen de actividad empresarial, presencia en sectores industriales vulnerables, y en muchos casos, falta de ciberseguridad avanzada. Los sectores más afectados por SafePay incluyen el sector manufacturero, salud, finanzas, educación y tecnológico. Estos sectores suelen manejar grandes cantidades de datos sensibles y operar con sistemas que no siempre están actualizados o protegidos adecuadamente. 

 

La constante evolución y el número de víctimas de SafePay deja claro que es una peligrosa amenaza activa para las organizaciones ya que puede comprometer su información y provocar un impacto significativo en sus sistemas. Por ello como ya se menciono es muy importante mantenerse alerta y tomar precauciones para evitar convertirse en una victima mas de esta peligrosa amenaza.
 

Taxonomía MITRE ATT&CK 

Táctica	ID	Técnica
Initial Access	T1566	Phishing
Execution	T1059	Command and Scripting Interpreter
	T1059.001	Command and Scripting Interpreter: Powershell
	T1059.003	Command and Scripting Interpreter: Windows Command Shell
Privilege Escalation	T1548.002	Abuse Elevation Control Mechanism: Bypass User Account Control
Defense Evasion	T1202	System Binary Proxy Execution
	T1070.004	File Removal
	T1562.001	Impair Defenses: Disable or Modify Tools
Defense Evasion	T1070.004	File Removal
Discovery	T1135	Network Share Discovery
Collection	T1560.001	Archive Collected Data: Archive via Utility
Exfiltration	T1048	Exfiltration Over Alternative Protocol
Impact	T1486	Data Encrypted for Impact
	T1490	Inhibit System Recovery

 

 

Indicadores de compromiso  

IOC	Tipo
625abbf876f256662f33a88c122bf787edf74b882c35adbd61562b5bd1b2ac27	SHA256
206.217.206.57	IP
68.235.46.80	IP
88.119.167.239	IP
07353237350c35d6dc2c8f143b649cd07c71f62b	SHA1
6c1d36df94ebe367823e73ba33cfb4f40756a5e8ee1e30e8f0ae55d47e220a6a	SHA256
921df888aaabcd828a3723f4c9f5fe8b8379c6b7067d16b2ea10152300417eae	SHA256
e79608cf1d6b51324c14bef8883054c1238ed5f080222cc464810e6e14adc346	SHA256
a0dc80a37eb7e2716c02a94adc8df9baedec192a77bde31669faed228d9ff526	SHA256
6653255014d0b799fd2ef30f705e9a4503850eda4f4885bae39f6539448f5c8f	SHA256
c5ad4f3c1c275095c748609d7b2025bbd9d5bfb6cf9009ea0a02a36d840041bc	SHA256
45.91.201.247	IPv4
77.37.49.40	IPv4

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Infochannel – Noticias y Negocios de Tecnología en México. (2025, Julio 07). SafePay: El ransomware que está golpeando fuerte a empresas como Ingram Micro. Infochannel – Noticias y Negocios de Tecnología en México. Recuperado el 08 de julio de 2025, en: https://infochannel.info/safepay-el-ransomware-que-esta-golpeando-fuerte-a-empresas-como-ingram-micro/ 
2. Checker, C. &. F. (2025, Enero 26). SafePay ransomware strikes Paradise schools: A dark web menace unveiled - UNDERCODE NEWS. UNDERCODE NEWS. Recuperado el 08 de julio de 2025, en: https://undercodenews.com/safepay-ransomware-strikes-paradise-schools-a-dark-web-menace-unveiled/ 
3. Ransomware.live. (2024, Noviembre 19). Recuperado el 08 de julio de 2025, en: https://www.ransomware.live/group/safepay 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios