El CSIRT Nacional investiga el avance de este peligroso software malicioso, identificando vulnerabilidades clave explotadas por ciberdelincuentes.
Desde el CSIRT Nacional, compartimos información técnica relacionada a patrones de comportamiento observados, los cuales podrían afectar sistemas e infraestructura digital de Servicios Esenciales en el país.
Durante los últimos días, hemos identificado actividad vinculada al ransomware Safepay dentro del ciberespacio nacional, comprometiendo parcialmente la operatividad de un servicio esencial.
A partir de la investigación realizada por especialistas de la Agencia Nacional de Ciberseguridad (ANCI), se identificaron TTP (Tácticas, Técnicas y Procedimientos) e IoC (Indicadores de Compromiso) relacionados tanto al grupo detrás de este ransomware como al binario malicioso, los cuales se ponen a disposición de la comunidad para que se puedan tomar las medidas de mitigación necesarias.
¿Qué es el Ransomware Safepay?
Safepay es una familia de ransomware relativamente nueva, detectada en octubre de 2024. Se caracteriza por ataques confirmados en sectores como la salud, servicios profesionales, manufactura y gobierno. Ha afectado a países como EE. UU., Reino Unido, Australia, Argentina, Brasil y Chile, entre otros.
En mayo de 2025, encabezó el ranking global con 58 víctimas confirmadas y un total aproximado de 213 organizaciones afectadas desde el inicio de su operación. A diferencia de los modelos de «Ransomware as a Service» (RaaS), Safepay opera como un grupo cerrado y altamente organizado, sin un programa público de afiliados.
Su modus operandi sigue la lógica de la «doble extorsión»: antes de cifrar la información, los ciberdelincuentes exfiltran datos sensibles y amenazan con publicarlos en su blog alojado en la red Tor y un espejo en TON si la víctima no realiza el pago del rescate.
En el proceso de encriptación, los archivos quedan con la extensión “.safepay” y se deja una nota de rescate llamada “readme_safepay.txt”.
Anomalías detectadas: Así operan los Ciberdelincuentes con Safepay en Chile
Desde el CSIRT Nacional, hemos observado ciertos patrones o «anomalías» en cómo los ciberdelincuentes están logrando ingresar a los sistemas de las organizaciones usando Safepay. Es crucial que cualquier persona en Chile, especialmente quienes manejan sistemas o información importante, entienda cómo se produce este ataque:
- Accesos Iniciales Frecuentes por Puertas Abiertas: La anomalía más común es que los ciberdelincuentes a menudo logran entrar usando credenciales débiles o robadas. Esto significa que las contraseñas no son lo suficientemente seguras o han sido comprometidas previamente (por ejemplo, a través de phishing o fugas de datos). Utilizan servicios como RDP (Escritorio Remoto) y VPN (Red Privada Virtual), que son puntos de acceso comunes para trabajar a distancia. Si estas conexiones no están bien protegidas, son una puerta de entrada para ellos.
- Uso de Herramientas Legítimas para Fines Maliciosos: Una vez dentro del sistema, los ciberdelincuentes no necesariamente instalan mucho software nuevo y extraño. Al contrario, la anomalía es que explotan las herramientas que Windows ya trae consigo. Esto incluye:
- LOLBins (Living Off the Land Binaries): Son programas legítimos del sistema operativo que los ciberdelincuentes usan para ejecutar sus propios comandos, moverse dentro de la red, o evadir la detección.
- Scripts de PowerShell: PowerShell es una potente herramienta de automatización de Windows. Los ciberdelincuentes la usan para ejecutar comandos complejos y maliciosos sin dejar muchos rastros.
- Utilidades Comunes: Herramientas como WinRAR (para comprimir archivos) o FileZilla (para transferir archivos) son utilizadas por ellos para organizar los datos robados y luego sacarlos del sistema. Esto es una anomalía porque se usan herramientas cotidianas para fines criminales.
- Desactivación de Defensas: Una de las primeras anomalías que buscan los ciberdelincuentes una vez dentro es deshabilitar las medidas de seguridad. Esto incluye desactivar el antivirus o el Windows Defender, dejando al sistema vulnerable y permitiendo que el ransomware actúe sin ser detectado.
- Movimientos Laterales y Doble Extorsión: Tras el acceso inicial, se produce una anomalía en el comportamiento del ciberdelincuente: se mueven por la red de la organización (lo que llamamos «movimientos laterales») para identificar y robar información sensible. Luego, antes de cifrar los datos, amenazan con publicarlos (doble extorsión), añadiendo presión para que la víctima pague el rescate.
Recomendaciones Clave del CSIRT Nacional:
Para protegerse de Safepay y ataques similares, el CSIRT Nacional entrega las siguientes recomendaciones:
- Monitorear Accesos VPN: Es fundamental habilitar registros detallados y alertas para detectar conexiones entrantes sospechosas. Revisen intentos fallidos o secuencias de autenticaciones rápidas.
- Rotar Credenciales ante Señales Sospechosas: Si notan inicios de sesión anómalos (desde ubicaciones inusuales, horarios atípicos o intentos de fuerza bruta), cambien de inmediato las contraseñas y revoquen permisos.
- Georestringir el Servicio VPN: Configuren filtros de IP o país en el concentrador VPN o en el firewall para aceptar conexiones solo desde ubicaciones autorizadas (por ejemplo, solo desde Chile o países específicos donde opere el personal).
- Refuerzo General de Accesos Remotos:
- Activen la Autenticación Multifactor (MFA) para todos los servicios RDP/VPN.
- Limiten la exposición no abriendo puertos por defecto o utilizando ZTNA (Zero Trust Network Access), donde solo se confía en lo estrictamente necesario.
- Utilicen certificados y métodos de conexión con algoritmos seguros y modernos (TLS 1.2/1.3, IKEv2).
- Mantener Respaldos Fuera de Línea: Asegúrense de tener copias de seguridad de su información en un lugar desconectado de la red y validen su funcionamiento periódicamente.
- Segmentar las Redes Internas: Dividan la red de su institución en segmentos más pequeños para contener un posible ataque y evitar que se propague por toda la organización.
- Actualizar Firmas/IoC: Si cuentan con sistemas de detección y respuesta de endpoints (EDR) o de gestión de eventos e información de seguridad (SIEM), mantengan sus firmas e Indicadores de Compromiso actualizados.
Los Indicadores de Compromiso (IoC) como el SHA256 (22df7d07369d206f8d5d02cf6d365e39dd9f3b5c454a8833d0017f4cf9c35177 para «locker.dll») y los detalles de las tácticas MITRE ATT&CK (como T1003 para volcado de credenciales o T1486 para datos encriptados) son elementos técnicos que el CSIRT Nacional entrega a los equipos de ciberseguridad para que puedan detectar y mitigar estos ataques de forma más efectiva.