Prueba con "investigadoras"
Tecnología
Aactualidad Mundial
spot_img

La fragmentación del ransomware llega a un punto crítico mientras LockBit regresa

La fragmentación del ransomware llega a un punto crítico mientras LockBit regresa

Conclusiones clave:

  • 85 grupos activos de ransomware y extorsión observado en el tercer trimestre de 2025, lo que refleja el ecosistema de ransomware más descentralizado hasta la fecha.
  • 1.590 víctimas descubiertas en 85 sitios de fugas, mostrando una actividad alta y sostenida a pesar de la presión de las autoridades.
  • 14 nuevas marcas de ransomware lanzado este trimestre, lo que demuestra la rapidez con la que los afiliados se reconstituyen después de los retiros.
  • La reaparición de LockBit con la versión 5.0 señala una posible recentralización después de meses de fragmentación.

En el tercer trimestre de 2025, Check Point Research registró un récord de 85 grupos activos de ransomware y extorsiónel más alto jamás observado. Lo que alguna vez fue un mercado concentrado dominado por unos pocos gigantes del ransomware como servicio (RaaS) se ha dividido en docenas de operaciones más pequeñas y de corta duración.

Esta proliferación de sitios de fuga representa un cambio estructural fundamental. Las mismas presiones de aplicación de la ley y del mercado que perturbaron a los grandes grupos de RaaS han alimentado una ola de actores oportunistas y descentralizados, muchos de ellos dirigidos por antiguos afiliados que ahora operan de forma independiente.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

Un récord de 85 grupos activos

En más de 85 sitios de filtraciones monitoreados, los operadores de ransomware publicaron:

  • 1.592 nuevas víctimas en el tercer trimestre de 2025.
  • Un promedio de 535 divulgaciones por mes.
  • Un cambio de poder importante: los diez grupos principales representaron sólo el 56% de las víctimas, frente al 71% de principios de este año.

Los actores más pequeños ahora están publicando menos de diez víctimas cada uno, lo que refleja un aumento en las operaciones independientes fuera de las jerarquías tradicionales de RaaS. Muchos surgieron del colapso de RansomHub, 8Base y BianLian. Catorce nuevos grupos comenzaron a publicar solo en el tercer trimestre, lo que eleva el total de 2025 a 45.

LEER  Por qué las organizaciones están recurriendo a RPAM

La fragmentación a este nivel erosiona la previsibilidad, que alguna vez fue la ventaja del profesional de la seguridad cibernética. Cuando dominaban las grandes marcas de RaaS, los equipos de seguridad podían rastrear los comportamientos de los afiliados y la reutilización de la infraestructura. Ahora, docenas de sitios de filtraciones efímeras hacen que la atribución fugaz y la inteligencia basada en la reputación sean mucho menos confiables.

Proporción del total de víctimas por los 10 principales grupos de ransomware, primer trimestre de 2025

Lea el informe completo sobre ransomware del tercer trimestre de 2025.

El impacto limitado de la aplicación de la ley

Varias eliminaciones de alto perfil este año dirigidas a grupos como RansomHub y 8Base no han reducido significativamente el volumen de ransomware. Los afiliados desplazados por estas operaciones simplemente migran o cambian de marca.

El problema es estructural. Los esfuerzos de aplicación de la ley suelen desmantelar la infraestructura o apoderarse de dominios, no de los afiliados que ejecutan los ataques. Cuando una plataforma cae, esos operadores se dispersan y se reagrupan en cuestión de días. El resultado es un ecosistema más amplio y resiliente que refleja las finanzas descentralizadas o las comunidades de código abierto más que una jerarquía criminal tradicional.

Esta difusión también socava la credibilidad del mercado del ransomware. Los equipos más pequeños y de corta duración no tienen ningún incentivo para cumplir los acuerdos de rescate o proporcionar claves de descifrado. Las tasas de pago, estimadas entre el 25 y el 40 por ciento, continúan disminuyendo a medida que las víctimas pierden confianza en las promesas de los atacantes.

Retorno y recentralización de LockBit

En septiembre de 2025, LockBit 5.0 marcó el regreso de una de las marcas más duraderas del ciberdelito.

Su administrador, LockBitSupp, había anunciado un regreso durante meses después del derribo de 2024 bajo la Operación Cronos. La nueva versión ofrece:

  • Variantes actualizadas de Windows, Linux y ESXi.
  • Cifrado más rápido y evasión mejorada.
  • Portales de negociación únicos por víctima.
LEER  Meta lanza nuevas herramientas para proteger a los usuarios de WhatsApp y Messenger de estafas

Al menos una docena de víctimas fueron alcanzadas durante el primer mes. La campaña demuestra una renovada confianza y madurez técnica de los afiliados.

Para los atacantes, unirse a una marca reconocible como LockBit aporta algo que los equipos más pequeños no pueden ofrecer: reputación. Es más probable que las víctimas paguen cuando creen que realmente recibirán claves de descifrado, confianza que los grandes programas RaaS mantienen cuidadosamente.

Si LockBit logra atraer afiliados que buscan estructura y credibilidad, podría recentralizar una parte importante de la economía del ransomware. La centralización tiene un doble efecto. Facilita el seguimiento pero aumenta la escala potencial de ataques coordinados.

Nota de rescate de LockBit 5.0 por un ataque

DragonForce y el desempeño del poder

fuerzadragon ilustra otra estrategia de supervivencia: la visibilidad a través de la marca. En septiembre, el grupo afirmó públicamente formar coaliciones con LockBit y Qilin en foros clandestinos. No se ha verificado ninguna infraestructura compartida y las alianzas parecen más simbólicas que operativas.

Aún así, estos movimientos resaltan la evolución del ransomware hacia un marketing de estilo corporativo. DragonForce se promociona con:

  • Anuncios de asociaciones de afiliados.
  • Servicios de auditoría de datos para analizar datos robados y mejorar el aprovechamiento de la extorsión.
  • Relaciones públicas orientadas a proyectar solidez y confiabilidad.

Los mensajes del grupo reflejan un mercado competitivo donde la imagen y la credibilidad son tan valiosas como la velocidad de cifrado.

Ejemplo de auditoría de DragonForce

Tendencias geográficas y de la industria

La focalización global en el tercer trimestre de 2025 reflejó en gran medida los trimestres anteriores, pero con distintos cambios regionales y sectoriales.

  • Estados Unidos representaron aproximadamente la mitad de todas las víctimas denunciadas y siguen siendo el objetivo principal de los actores con motivación financiera.
  • Corea del Sur entró entre los diez primeros a nivel mundial por primera vez, casi en su totalidad debido a la campaña centrada de Qilin contra las empresas financieras.
  • Europa permaneció muy activo, y Alemania y el Reino Unido sufrieron una presión sostenida por parte de Safepay e INC Ransom.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

LEER  Fin7, Fin8 y otros usan Ragnar Loader para el acceso persistente y las operaciones de ransomware

Del lado industrial:

  • Fabricación y servicios empresariales cada uno representó alrededor del 10 por ciento de los casos registrados.
  • Cuidado de la salud se mantuvo estable en un 8 por ciento, aunque algunos grupos como Play evitan el sector para reducir el escrutinio.

Estos cambios muestran cómo el ransomware se guía más por la lógica empresarial que por la ideología. Los actores buscan sectores y regiones con datos de alto valor y baja tolerancia al tiempo de inactividad.

El camino por delante

El tercer trimestre de 2025 confirma la resistencia estructural del ransomware. La aplicación de la ley y la presión del mercado ya no suprimen el volumen general; simplemente remodelan el paisaje. Cada derribo dispersa a los actores que rápidamente resurgen con nuevos nombres o se unen a colectivos emergentes.

El regreso de LockBit añade otra capa de complejidad, lo que plantea la cuestión de si el ransomware está entrando en un nuevo ciclo de consolidación. Si LockBit restablece el dominio, puede restaurar cierta previsibilidad pero también reactivar campañas coordinadas a gran escala que equipos más pequeños no pueden ejecutar.

Para los profesionales de la seguridad cibernética, la conclusión es clara. El seguimiento de las marcas ya no es suficiente. Los analistas deben monitorear movilidad de afiliados, superposición de infraestructuray incentivos económicos – las fuerzas subyacentes que sustentan el ransomware incluso cuando sus caras se fragmentan.

🔗 Lea el informe completo sobre ransomware del tercer trimestre de 2025 →

spot_img
Artículo anterior
Elkann les dice a los conductores de Ferrari que «se concentren en conducir y hablen menos»
Artículo siguiente
Hyundai y Kia están creciendo rápidamente en EE. UU. y los vehículos eléctricos están liderando el camino

En Actualidadmundial, nos apasiona informar con veracidad, precisión y rapidez. Nuestro objetivo es mantener a nuestra audiencia al día con los acontecimientos más relevantes a nivel global. Creemos que la información es una herramienta poderosa que permite tomar mejores decisiones y entender el mundo en constante evolución.

Últimas noticias

Temas

© 2025 Todos los derechos reservados | Desarrollado por Actualidadmundial