Los investigadores de ciberseguridad han revelado que la infraestructura en línea de Ransomhub se ha desconectado “inexplicablemente” a partir del 1 de abril de 2025, lo que provocó preocupaciones entre los afiliados de la operación de ransomware como servicio (RAAS).
Grupo de la Compañía de Ciberseguridad Singapur-IB dicho que esto puede haber causado que los afiliados migren a Qilin, dado que “divulgaciones en su DLS [data leak site] he duplicado desde febrero “.
Se estima que Ransomhub, que surgió por primera vez en febrero de 2024, ha robado datos de más de 200 víctimas. Reemplazó a dos grupos Raas de alto perfil, Lockbit y Blackcat, para convertirse en un favorito, cortejando a sus afiliados, incluidas la araña dispersa y Cuerpo malvadocon lucrativas divisiones de pago.
“Tras una posible adquisición de la aplicación web y el código fuente de ransomware de Knight (anteriormente Cyclops), Ransomhub se elevó rápidamente en la escena de ransomware, gracias a las características dinámicas de su cifrado multiplataforma y un modelo agresivo y amigable con los que ofrecen incentivos financieros sustanciales, dijo Group-IB en un informe.
El ransomware de RansomHub está diseñado para funcionar en Windows, Linux, FreeBSD y ESXI, así como en arquitecturas X86, X64 y ARM, al tiempo que evita a las empresas atacantes ubicadas en la Comunidad de Estados Independientes (CIS), Cuba, Corea del Norte y China. También puede cifrar sistemas de archivos locales y remotos a través de SMB y SFTP.
El panel de afiliados, que se utiliza para configurar el ransomware a través de una interfaz web, presenta una sección de “miembros” dedicada donde los miembros del grupo de afiliados tienen la opción de crear sus propias cuentas en el dispositivo.
Los afiliados también se les ha proporcionado un módulo “asesino” al menos de junio de 2024 para terminar y evitar el software de seguridad utilizando controladores vulnerables conocidos (BYOVD). Sin embargo, la herramienta se ha suspendido desde entonces debido a altas tasas de detección.
Por esentire Y también se han observado que los ataques cibernéticos de Trend Micro aprovechan un malware JavaScript conocido como Socgholish (también conocido como FakeUpdates) a través de sitios comprometidos de WordPress para desplegar una puerta trasera basada en Python conectada a los filiales de Ransomhub.
“El 25 de noviembre, los operadores del grupo publicaron una nueva nota en su panel de afiliados anunciando que cualquier ataque contra cualquier institución gubernamental está estrictamente prohibido”, dijo la compañía. “Por lo tanto, se invitó a todos los afiliados a abstenerse de tales actos debido al alto riesgo y el ‘retorno de la inversión'”.
La cadena de eventos después del tiempo de inactividad de la infraestructura de Ransomhub, según la seguridad de GuidePoint, ha llevado a un “disturbio de afiliados”, con el grupo rival Raas DragonForce reclamando en el foro de rampas que Ransomhub “decidió pasar a nuestra infraestructura” bajo un nuevo “Cartel de ransmware de Dragonforce”.
Vale la pena señalar que se evalúa que otro actor de Raas llamado Blacklock ha comenzado a colaborar con Dragonforce después de que este último desfiguró su sitio de fuga de datos a fines de marzo de 2025.
“Estas discusiones en los foros de RAMP destacan el entorno incierto en el que los afiliados de Ransomhub parecen estar en este momento, aparentemente desconocidos del estado del grupo y su propio estado en medio de una posible ‘adquisición’,” GuidePoint Security dicho.
“Queda por ver si esta inestabilidad significará el principio del fin de Ransomhub, aunque no podemos evitar tener en cuenta que el grupo que saltó a la fama prometiendo estabilidad y seguridad para los afiliados ahora puede haber fallado o traicionado a los afiliados en ambos cargos”.
Secureworks Counter Amenaza (CTU), que también ha rastreado el cambio de marca de Dragonforce como un “cartel”, dijo que el esfuerzo es parte de un nuevo modelo de negocio diseñado para atraer a los afiliados y aumentar las ganancias al permitir que los afiliados creen sus propias “marcas”.
Esto es diferente de un esquema RAAS tradicional donde los desarrolladores centrales establecen la infraestructura web oscura y reclutan afiliados de la subterránea del delito cibernético, que luego realizan los ataques después de adquirir acceso a las redes objetivo de un corredor de acceso inicial (IAB) a cambio de el 70% del pago del rescate.
“En este modelo, DragonForce proporciona su infraestructura y herramientas, pero no requiere afiliados para implementar su ransomware”, la compañía propiedad de Sophos dicho. “Las características anunciadas incluyen paneles de administración y clientes, herramientas de cifrado y negociación de rescate, un sistema de almacenamiento de archivos, un sitio de fuga basado en Tor y un dominio .donión y servicios de soporte”.
Otro grupo de ransomware para adoptar tácticas novedosas es ANUBIS, que surgió en febrero de 2025 y utiliza una opción de extorsión de “rescate de datos” para ejercer presión sobre las víctimas al amenazar con publicar un “artículo de investigación” que contiene un análisis de los datos robados y las autoridades regulatorias o de cumplimiento del incidente.
“A medida que el ecosistema de ransomware continúa flexionándose y adaptando, estamos viendo una experimentación más amplia con diferentes modelos operativos”, dijo Rafe Pilling, directora de inteligencia de amenazas de Secureworks CTU. “Lockbit había dominado el esquema de afiliados, pero a raíz de la acción de ejecución contra ellos, no es sorprendente ver que se prueben y prueben nuevos esquemas y métodos”.
El desarrollo coincide con la aparición de una nueva familia de ransomware llamada Elenor-Corp, una variante del ransomware MIMIC, que se dirige activamente a las organizaciones de atención médica después de cosechar credenciales utilizando un ejecutable de Python capaz de robar contenido de portapapeles.
“La variante Elenor-Corp del ransomware MIMIC exhibe mejoras en comparación con versiones anteriores, empleando medidas sofisticadas anti-forenses, manipulación de procesos y estrategias de cifrado”, el investigador de Morphisec Michael Gorelik dicho.
“Este análisis destaca la sofisticación en evolución de los ataques de ransomware, enfatizando la necesidad de defensas proactivas, respuesta de incidentes rápidos y estrategias de recuperación sólidas en industrias de alto riesgo como la atención médica”.
Anubis y Elenor-Corp se encuentran entre una nueva cosecha de actores de ransomware que han energizado el paisaje, incluso cuando la amenaza persistente muestra signos de astilla en grupos más pequeños y con frecuencia se vuelve a usar para evadir el escrutinio y mantener la continuidad operativa, reflejo un “cambio más amplio hacia el sigilo y la flexibilidad” –
- Crazyhunterque se ha dirigido a los sectores de salud, educación e industrial taiwaneses y utiliza técnicas BYOVD para eludir las medidas de seguridad a través de una herramienta de código abierto nombrada Zammocidio
- elíseouna nueva variante del Fantasma (también conocido como CRING) Familia de ransomware que termina una lista de servicios codificados, deshabilita las copias de seguridad del sistema, elimina las copias de la sombra y modifica la política de estado del arranque para que la recuperación del sistema sea más difícil
- NIEBLAque ha abusado del nombre del Departamento de Eficiencia del Gobierno de los Estados Unidos (DOGE), y las personas conectadas con la iniciativa del gobierno en correo electrónico y ataques de phishing para distribuir archivos zip con malware que entregan el ransomware
- Hellcatque ha explotado las vulnerabilidades de día cero, como las de Atlassian Jira, para obtener acceso inicial
- Cazadores internacionalesque ha cambiado y lanzado una operación de solo extorsión conocida como fugas mundiales al hacer uso de un programa de exfiltración de datos a medida
- Entrelazarque ha aprovechado la infame estrategia de ClickFix para iniciar una cadena de ataque de varias etapas que despliega la carga útil de ransomware, junto con una puerta trasera llamada RAT de bloqueo y robadores como Lumma y Berserkstealer
- Qilinque ha empleado un correo electrónico de phishing disfrazado de alertas de autenticación Screenconnect para violar un proveedor de servicios administrado (MSP) utilizando un kit de phishing AITM y lanzar ataques de ransomware a sus clientes (atribuido a una afiliada llamada STAC4365)
Estas campañas sirven para resaltar el naturaleza en constante evolución del ransomware y demostrar la capacidad de los actores de amenaza para innovar frente a las interrupciones y fugas de la aplicación de la ley.
De hecho, un nuevo análisis de los 200,000 mensajes internos de chat de Black Basta del Foro de Respuesta a Incidentes y Equipos de Seguridad (primero) ha revelado cómo el grupo de ransomware realiza sus operaciones, centrándose en técnicas avanzadas de ingeniería social y explotando vulnerabilidades de VPN.
“Un miembro conocido como ‘Nur’ tiene la tarea de identificar objetivos clave dentro de las organizaciones que su objetivo es atacar”, primero dicho. “Una vez que ubican a una persona de influencia (como un gerente o personal de recursos humanos), inician el contacto a través de la llamada telefónica”.
About the Author
