{"id":18807,"date":"2025-06-10T13:05:11","date_gmt":"2025-06-10T13:05:11","guid":{"rendered":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/"},"modified":"2025-06-10T13:05:11","modified_gmt":"2025-06-10T13:05:11","slug":"safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research","status":"publish","type":"noticia-corporativa","link":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/","title":{"rendered":"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research"},"content":{"rendered":"<div>\n<p>El \u00cdndice Global de Amenazas de mayo de 2025 revela que FakeUpdates sigue siendo el malware m\u00e1s extendido a nivel mundial, mientras que el sector educativo contin\u00faa como objetivo principal para los ciberdelincuentes<\/p>\n<p><\/p>\n<p>Check Point Research, la divisi\u00f3n de Inteligencia de Amenazas <a href=\"https:\/\/www.checkpoint.com\/\" rel=\"nofollow\">Check Point\u00ae Software Technologies Ltd.<\/a> (NASDAQ: CHKP), pionero y l\u00edder global en soluciones de ciberseguridad, publica su <strong>\u00cdndice Global de Amenazas del mes de mayo de 202<\/strong><strong>5<\/strong>, en el que destaca SafePay, un grupo de ransomware relativamente nuevo pero en r\u00e1pido crecimiento, que ha superado a otras amenazas este mes para posicionarse como el actor m\u00e1s prevalente en la lista de principales grupos de ransomware, empleando una estrategia de doble extorsi\u00f3n. Mientras tanto, FakeUpdates contin\u00faa dominando como el malware m\u00e1s extendido, afectando a empresas en todo el mundo. El sector educativo sigue siendo la industria m\u00e1s atacada, lo que refleja vulnerabilidades persistentes en estas instituciones.<\/p>\n<p>En mayo, Europol, el FBI, Microsoft y otros socios lanzaron una <strong>operaci\u00f3n importante dirigida contra Lumma<\/strong>, una destacada plataforma de malware como servicio. Esta acci\u00f3n ha permitido la <strong>incautaci\u00f3n de miles de dominios<\/strong>, interrumpiendo significativamente la operaci\u00f3n. Sin embargo, se afirma que los servidores principales de Lumma, ubicados en Rusia, permanecieron operativos, y sus desarrolladores restauraron r\u00e1pidamente la infraestructura. A pesar de ello, la operaci\u00f3n ha causado un da\u00f1o reputacional mediante <strong>t\u00e1cticas psicol\u00f3gicas como el phishing y la generaci\u00f3n de desconfianza entre sus usuarios<\/strong>. Aunque la interrupci\u00f3n t\u00e9cnica fue considerable, los datos relacionados con Lumma contin\u00faan circulando, lo que genera preocupaci\u00f3n sobre el impacto a largo plazo de la operaci\u00f3n.<\/p>\n<p>\u00abLos datos del \u00cdndice Global de Amenazas de mayo subrayan la creciente sofisticaci\u00f3n de las t\u00e1cticas cibercriminales. Con el ascenso de grupos como SafePay y la persistente amenaza de FakeUpdates, las compa\u00f1\u00edas deben adoptar medidas de seguridad proactivas y de m\u00faltiples capas\u00bb, ha explicado<strong> <\/strong>Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software.<strong> <\/strong>\u00abA medida que aumentan las ciberamenazas, es fundamental anticiparse a la evoluci\u00f3n de los ataques con informaci\u00f3n sobre riesgos en tiempo real y defensas s\u00f3lidas\u00bb.<\/p>\n<p><strong>Principales familias de malware en Espa\u00f1a en mayo<\/strong><br \/>\n*Las flechas se refieren al cambio de rango en comparaci\u00f3n con el mes anterior.<\/p>\n<ol>\n<li><strong>\u2193<\/strong><strong> <\/strong><strong>FakeUpdates <\/strong>(AKA SocGholish) \u2013 Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. <strong>Este downloader ha impactado en el 8,8% de las empresas en Espa\u00f1a.<\/strong><\/li>\n<li><strong>\u2191<\/strong><strong> Remcos <\/strong>\u2013 Remcos es un RAT que apareci\u00f3 por primera vez en la naturaleza en 2016 y que se distribuye a trav\u00e9s de documentos maliciosos de Microsoft Office que se adjuntan a correos electr\u00f3nicos no deseados y est\u00e1 dise\u00f1ado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. <strong>Este RAT <\/strong><strong>ha impactado en un 3,2% de los negocios en Espa\u00f1a.<\/strong><\/li>\n<li><strong>\u2193 Androxgh0st <\/strong>\u2013 Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infecci\u00f3n inicial, Androxgh0st explota m\u00faltiples vulnerabilidades, espec\u00edficamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba informaci\u00f3n sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la informaci\u00f3n. Tiene diferentes variantes que escanean informaci\u00f3n. <strong>Este botnet ha <\/strong><strong>impactado al <\/strong><strong>2,8<\/strong><strong>% de las compa\u00f1\u00edas espa\u00f1olas.<\/strong><\/li>\n<\/ol>\n<p><strong>Los tres malware m\u00f3viles m\u00e1s usados en mayo<\/strong><br \/>\nEl mes pasado, Anubis ha ocupado el primer puesto como malware para m\u00f3viles m\u00e1s extendido, seguido de AhMyth y Necro.<\/p>\n<ul>\n<li><strong>\u2194 Anubis \u2013 <\/strong><em>nubis<\/em> es un <strong>troyano bancario vers\u00e1til<\/strong> que surgi\u00f3 en dispositivos Android y ha evolucionado para incluir funciones avanzadas como eludir <strong>autenticaci\u00f3n multifactor (MFA)<\/strong> interceptando <strong>contrase\u00f1as de un solo uso (OTP)<\/strong> por SMS, <strong>keylogging<\/strong>, grabaci\u00f3n de audio y funciones de <strong>ransomware<\/strong>. Se distribuye principalmente a trav\u00e9s de <strong>aplicaciones maliciosas en Google Play Store<\/strong> e incluye <strong>capacidades de acceso remoto (RAT)<\/strong>.<\/li>\n<li><strong>\u2194 AhMyth \u2013 <\/strong><em>AhMyth<\/em> es un <strong>troyano de acceso remoto (RAT)<\/strong> que ataca dispositivos Android, generalmente camuflado como <strong>aplicaciones leg\u00edtimas<\/strong> (grabadoras de pantalla, juegos o herramientas de criptomonedas). Una vez instalado, obtiene <strong>amplios permisos<\/strong>, permiti\u00e9ndole <strong>persistir tras reinicios<\/strong> y <strong>exfiltrar informaci\u00f3n sensible<\/strong> como credenciales bancarias, claves de criptomonedas, c\u00f3digos MFA y contrase\u00f1as. Tambi\u00e9n permite keylogging, capturas de pantalla, acceso a c\u00e1mara y micr\u00f3fono, e interceptaci\u00f3n de SMS.<\/li>\n<li>\u2191 <strong>Necro<\/strong> \u2013 <em>Necro<\/em> es un <strong>descargador malicioso<\/strong> para Android que recupera y ejecuta componentes da\u00f1inos en dispositivos infectados seg\u00fan \u00f3rdenes de sus creadores. Se ha descubierto en <strong>varias aplicaciones populares en Google Play<\/strong>, as\u00ed como en versiones modificadas de apps en plataformas no oficiales como <strong>Spotify, WhatsApp y Minecraft<\/strong>. Puede descargar m\u00f3dulos peligrosos, mostrar anuncios invisibles, descargar archivos ejecutables, instalar apps de terceros, y ejecutar JavaScript<strong> oculto<\/strong> que puede suscribir a los usuarios a <strong>servicios pagos no deseados<\/strong>. Tambi\u00e9n puede <strong>redirigir el tr\u00e1fico de internet<\/strong> a trav\u00e9s de dispositivos comprometidos, convirti\u00e9ndolos en parte de una <strong>red de bots proxy<\/strong> para ciberdelincuentes.<\/li>\n<\/ul>\n<p><strong>Principales grupos de ransomware en mayo<\/strong><br \/>\nEl ransomware sigue dominando el panorama del cibercrimen. Este mes, <strong>SafePay se posiciona como la amenaza de ransomware m\u00e1s significativa<\/strong>, con una nueva generaci\u00f3n de operadores que atacan tanto a grandes empresas como a negocios peque\u00f1os. Las t\u00e1cticas empleadas por estos grupos son cada vez m\u00e1s sofisticadas, y la competencia entre ellos se intensifica.<\/p>\n<ul>\n<li><strong>SafePay<\/strong> \u2013 SafePay es un grupo de ransomware detectado por primera vez en <strong>noviembre de 2024<\/strong>, con indicios que sugieren una posible afiliaci\u00f3n rusa. <strong>Opera bajo un modelo de doble extorsi\u00f3n<\/strong>: cifra los archivos de las v\u00edctimas mientras exfiltra datos sensibles para aumentar la presi\u00f3n del pago. Aunque no funciona como un servicio de ransomware (RaaS), SafePay ha listado un n\u00famero inusualmente alto de v\u00edctimas. Su estructura centralizada e internamente dirigida permite <strong>t\u00e1cticas, t\u00e9cnicas y procedimientos (TTPs) consistentes<\/strong>, con objetivos bien definidos.<\/li>\n<li><strong>Qilin<\/strong> \u2013 Tambi\u00e9n conocido como <em>Agenda<\/em>, es una <strong>operaci\u00f3n criminal de ransomware como servicio (RaaS)<\/strong> que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo luego un rescate. Este ransomware, que fue detectado por <strong>primera vez en julio de 2022<\/strong> y est\u00e1 desarrollado en Golang <em>Agenda,<\/em> se enfoca en grandes empresas y organizaciones de alto valor, especialmente en los sectores de salud y educaci\u00f3n. Habitualmente <strong>infiltra a sus v\u00edctimas mediante correos de phishing con enlaces maliciosos<\/strong>, para luego moverse lateralmente dentro de las infraestructuras y cifrar datos cr\u00edticos.<\/li>\n<li><strong>Play<\/strong> \u2013 Play Ransomware, tambi\u00e9n conocido como <strong>PlayCrypt<\/strong>, apareci\u00f3 por primera vez en <strong>junio de 2022<\/strong>. Ha atacado un amplio espectro de <strong>empresas e infraestructuras cr\u00edticas<\/strong> en Am\u00e9rica del Norte, del Sur y Europa, afectando a unas 300 entidades para octubre de 2023. Suele acceder a las redes a trav\u00e9s de cuentas v\u00e1lidas comprometidas o explotando vulnerabilidades sin parches, como las de Fortinet SSL VPNs. Dentro del sistema, emplea t\u00e9cnicas como el uso de binarios leg\u00edtimos del sistema (LOLBins) para exfiltrar datos y robar credenciales.<\/li>\n<\/ul>\n<p><strong>Los sectores m\u00e1s atacados en Espa\u00f1a en mayo<\/strong><br \/>\nEl mes pasado, Gobierno\/Militar se mantuvo en el primer puesto de los sectores m\u00e1s atacados en Espa\u00f1a, seguido de Bienes y servicios de consumo y Telecomunicaciones.<\/p>\n<ol>\n<li><strong>Gobierno\/Militar<\/strong><\/li>\n<li><strong>Bienes y servicios de consumo<\/strong><\/li>\n<li><strong>Telecomunicaciones<\/strong><\/li>\n<\/ol>\n<p>Los datos de mayo reflejan el <strong>crecimiento continuo de campa\u00f1as de malware sofisticadas y en m\u00faltiples fases<\/strong>, con SafePay emergiendo como una amenaza destacada de ransomware. Mientras FakeUpdates mantiene su posici\u00f3n como el malware m\u00e1s extendido, nuevos actores como SafePay y las operaciones en curso contra Lumma infostealer demuestran la creciente complejidad de los ciberataques. El sector educativo sigue siendo un objetivo clave, lo que enfatiza a\u00fan m\u00e1s la necesidad de que las empresas adopten medidas de seguridad proactivas y en capas para defenderse de estas amenazas cada vez m\u00e1s avanzadas.<\/p>\n<\/div>\n","protected":false},"featured_media":0,"template":"","meta":{"_acf_changed":false},"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v22.7 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento\" \/>\n<meta property=\"og:description\" content=\"El \u00cdndice Global de Amenazas de mayo de 2025 revela que FakeUpdates sigue siendo&hellip;\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/\" \/>\n<meta property=\"og:site_name\" content=\"Blog Club del Emprendimiento\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Tiempo de lectura\" \/>\n\t<meta name=\"twitter:data1\" content=\"7 minutos\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/\",\"url\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/\",\"name\":\"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento\",\"isPartOf\":{\"@id\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/#website\"},\"datePublished\":\"2025-06-10T13:05:11+00:00\",\"dateModified\":\"2025-06-10T13:05:11+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/#breadcrumb\"},\"inLanguage\":\"es\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Noticias Corporativas\",\"item\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/noticias-corporativas\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/#website\",\"url\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/\",\"name\":\"Blog Club del Emprendimiento\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.clubdelemprendimiento.com\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"es\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/","og_locale":"es_ES","og_type":"article","og_title":"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento","og_description":"El \u00cdndice Global de Amenazas de mayo de 2025 revela que FakeUpdates sigue siendo&hellip;","og_url":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/","og_site_name":"Blog Club del Emprendimiento","twitter_card":"summary_large_image","twitter_misc":{"Tiempo de lectura":"7 minutos"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/","url":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/","name":"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research - Blog Club del Emprendimiento","isPartOf":{"@id":"https:\/\/www.clubdelemprendimiento.com\/blog\/#website"},"datePublished":"2025-06-10T13:05:11+00:00","dateModified":"2025-06-10T13:05:11+00:00","breadcrumb":{"@id":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticia-corporativa\/safepay-se-posiciona-como-uno-de-los-principales-grupos-de-ransomware-segun-check-point-research\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.clubdelemprendimiento.com\/blog\/"},{"@type":"ListItem","position":2,"name":"Noticias Corporativas","item":"https:\/\/www.clubdelemprendimiento.com\/blog\/noticias-corporativas\/"},{"@type":"ListItem","position":3,"name":"SafePay se posiciona como uno de los principales grupos de ransomware, seg\u00fan Check Point Research"}]},{"@type":"WebSite","@id":"https:\/\/www.clubdelemprendimiento.com\/blog\/#website","url":"https:\/\/www.clubdelemprendimiento.com\/blog\/","name":"Blog Club del Emprendimiento","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.clubdelemprendimiento.com\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"es"}]}},"_links":{"self":[{"href":"https:\/\/www.clubdelemprendimiento.com\/blog\/wp-json\/wp\/v2\/noticia-corporativa\/18807"}],"collection":[{"href":"https:\/\/www.clubdelemprendimiento.com\/blog\/wp-json\/wp\/v2\/noticia-corporativa"}],"about":[{"href":"https:\/\/www.clubdelemprendimiento.com\/blog\/wp-json\/wp\/v2\/types\/noticia-corporativa"}],"wp:attachment":[{"href":"https:\/\/www.clubdelemprendimiento.com\/blog\/wp-json\/wp\/v2\/media?parent=18807"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}