{"id":1605263,"date":"2025-03-03T11:54:05","date_gmt":"2025-03-03T11:54:05","guid":{"rendered":"https:\/\/teknomers.com\/es\/los-nuevos-grupos-de-ransomware-sacudiendo-2025\/"},"modified":"2025-03-03T11:54:10","modified_gmt":"2025-03-03T11:54:10","slug":"los-nuevos-grupos-de-ransomware-sacudiendo-2025","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/los-nuevos-grupos-de-ransomware-sacudiendo-2025\/","title":{"rendered":"Los nuevos grupos de ransomware sacudiendo 2025"},"content":{"rendered":"


\n<\/p>\n

\n
<\/a><\/div>\n

En 2024, los ataques globales de ransomware alcanzaron 5,414, un aumento del 11% desde 2023. <\/p>\n

\"\"<\/a><\/div>\n

Despu\u00e9s de un comienzo lento, los ataques se dispararon en el segundo trimestre y aumentaron en el cuarto trimestre, con 1,827 incidentes (33% del total del a\u00f1o). Las acciones de aplicaci\u00f3n de la ley contra grupos principales como Lockbit causaron fragmentaci\u00f3n, conduciendo a una mayor competencia y un aumento en pandillas m\u00e1s peque\u00f1as.<\/a> El n\u00famero de activo ransomware<\/a> Los grupos saltaron un 40%, de 68 en 2023 a 95 en 2024.<\/p>\n

\"\"<\/a><\/div>\n

Nuevos grupos de ransomware para ver<\/h2>\n

En 2023 solo hab\u00eda 27 nuevos grupos. 2024 vio un aumento dram\u00e1tico con 46 nuevos grupos detectados. A medida que pas\u00f3 el a\u00f1o, el n\u00famero de grupos aceler\u00f3 con el cuarto trimestre 2024 que tiene 48 grupos activos. <\/p>\n

De los 46 nuevos grupos de ransomware en 2024, Ransomhub se volvi\u00f3 dominante, excediendo la actividad de Lockbit. En Cyberint, ahora una compa\u00f1\u00eda de Point Point, el equipo de investigaci\u00f3n es Investigando constantemente los \u00faltimos grupos de ransomware<\/a> y analizarlos para obtener un impacto potencial. Este blog ver\u00e1 a 3 nuevos jugadores, el Ransomhub, Fog y Lynx antes mencionado y examinar\u00e1 su impacto en 2024 y profundizar en sus or\u00edgenes y TTP.<\/p>\n

Para aprender sobre otros jugadores nuevos, descargue el informe de ransomware 2024 aqu\u00ed.<\/a><\/h3>\n
\"\"<\/a><\/div>\n

Ransomhub<\/h2>\n

RansomHub se ha convertido en el principal grupo de ransomware en 2024, reclamando 531 ataques en su sitio de fuga de datos desde que comenz\u00f3 las operaciones en febrero de 2024. Despu\u00e9s de la interrupci\u00f3n del FBI de Alphv<\/a>Ransomhub se percibe como su “sucesor espiritual”, potencialmente involucrando a los antiguos afiliados. <\/p>\n

Operando como un ransomware como servicio (RAAS), Ransomhub aplica acuerdos de afiliados estrictos, y Ransomhub aplica una estricta adherencia a los acuerdos de afiliados, con un incumplimiento que resulta en prohibiciones y la terminaci\u00f3n de las asociaciones. Ofrece una divisi\u00f3n de rescate 90\/10, Afiliates\/Core Group.<\/p>\n

Mientras reclama una comunidad global de piratas inform\u00e1ticos, Ransomhub evita atacar a las naciones cis, Cuba, Corea del Norte, China y sin fines de lucro, exhibiendo caracter\u00edsticas de una configuraci\u00f3n tradicional de ransomware ruso. Su evitaci\u00f3n de las naciones afiliadas a rusos y la superposici\u00f3n con otros grupos de ransomware rusos en compa\u00f1\u00edas espec\u00edficas resaltan a\u00fan m\u00e1s sus probables conexiones con el ecosistema de cibercrimen de Rusia.<\/p>\n

Cyberint en agosto de 2024 <\/a>Los resultados indican una tasa de pago baja: solo el 11.2% de las v\u00edctimas pagadas (20 de 190), y las negociaciones a menudo reducen las demandas. RansomHub prioriza el volumen de ataque sobre las tasas de pago, aprovechando la expansi\u00f3n de los afiliados para garantizar la rentabilidad, con el objetivo de generar ingresos sustanciales con el tiempo a pesar del bajo \u00e9xito de pago individual.<\/p>\n

\"\"<\/a><\/div>\n

Malware, conjunto de herramientas y ttps<\/h3>\n

El ransomware de RansomHub, desarrollado en Golang y C ++, se dirige a Windows, Linux y ESXI, distinguido por su cifrado r\u00e1pido. Las similitudes con el ransomware de GhostSec sugieren una tendencia. <\/p>\n

RansomHub garantiza un descifrado gratuito si los afiliados no pueden proporcionarle post pagos o dirigirse a organizaciones prohibidas. Su ransomware encripta los datos antes de la exfiltraci\u00f3n. Posibles lazos con Alphv<\/a> son sugeridos por patrones de ataque, lo que indica herramientas similares y se podr\u00eda usar TTP. <\/p>\n

La investigaci\u00f3n de Sophos destaca los paralelos con el ransomware Knight, incluidas las cargas \u00fatiles de Goobfuscate e id\u00e9nticas men\u00fas de l\u00ednea de comandos.<\/p>\n

Ransomware de niebla<\/h2>\n

El ransomware de niebla apareci\u00f3 a principios de abril de 2024, dirigido a las redes educativas estadounidenses explotando las credenciales de VPN robadas. Utilizan una estrategia de doble extensi\u00f3n, publicando datos en un sitio de filtraci\u00f3n basado en TOR si las v\u00edctimas no pagan. <\/p>\n

En 2024, atacaron a 87 organizaciones a nivel mundial. Un informe de Wolf Arctic de noviembre de 2024 mostr\u00f3 que FOG inici\u00f3 al menos 30 intrusiones, todas a trav\u00e9s de cuentas VPN de SonicWall comprometidas. En particular, el 75% de estas intrusiones se vincularon a Akira, con el resto atribuido a la niebla, lo que sugiere infraestructura y colaboraci\u00f3n compartidas. <\/p>\n

La niebla se dirige principalmente a la educaci\u00f3n, los servicios comerciales, los viajes y la fabricaci\u00f3n, con un enfoque en los Estados Unidos, curiosamente, la niebla es uno de los pocos grupos de ransomware que priorizan al sector educativo como su objetivo principal.<\/p>\n

\"\"<\/a><\/div>\n

El ransomware de niebla ha demostrado una velocidad alarmante, con el tiempo m\u00e1s corto observado desde el acceso inicial hasta el cifrado que son solo dos horas. Sus ataques siguen una cadena t\u00edpica de matar de ransomware, que abarca la enumeraci\u00f3n de la red, el movimiento lateral, el cifrado y la exfiltraci\u00f3n de datos. Las versiones del ransomware existen para las plataformas de Windows y Linux.<\/p>\n

COI<\/h3>\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n
Tipo<\/strong><\/td>\nValor<\/strong><\/td>\n\u00daltima fecha de observaci\u00f3n<\/strong><\/td>\n<\/tr>\n
IPv4-ADDR<\/strong><\/td>\n107.161.50.26<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n507b26054319ff31f275ba44ddc9d2b5037bd295<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\nE1FB7D15408988DF39A80B8939972F7843F0E785<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n83F00AF43DF650FDA2C5B4A04A7B31790A8AD4CF<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n44a76b9546427627a8d88a650c1bed3f1cc0278c<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\neeaFA71946E81D8FE5EBF6BE53E83A84DCCA50BA<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n763499B37AACD317E7D2F512872F9ED719AACAE1<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n3477A173E2C1005A81D042802AB0F22CC12A4D55<\/td>\n02 de febrero de 2025<\/td>\n<\/tr>\n
SHA-1<\/strong><\/td>\n90be89524b72f330e49017a11e7b8a257f975e9a<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
Nombre de dominio<\/strong><\/td>\nGFS302N515.Userstorage.mega.co.nz<\/td>\n28 de noviembre de 2024<\/td>\n<\/tr>\n
SHA-256<\/strong><\/td>\nE67260804526323484f564eBeb6C99ED021B960B899FF788AED85BB7A9D75C3<\/td>\n20 de agosto de 2024<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

Lince<\/h2>\n

Lynx es un grupo de ransomware de doble extinci\u00f3n que ha sido muy activo \u00faltimamente, mostrando muchas empresas v\u00edctimas en su sitio web. Afirman que evitan apuntar a organizaciones gubernamentales, hospitales, grupos sin fines de lucro y otros sectores sociales esenciales. <\/p>\n

\"\"<\/a><\/div>\n
\"\"<\/a><\/div>\n

Una vez que obtienen acceso a un sistema, Lynx cifra los archivos, que agrega la extensi\u00f3n “.lynx”. Luego colocan una nota de rescate llamada “ReadMe.txt” en m\u00faltiples directorios. Solo en 2024, Lynx reclam\u00f3 a m\u00e1s de 70 v\u00edctimas, demostrando su actividad continua y presencia significativa en el panorama de ransomware.<\/p>\n

\"\"<\/a><\/div>\n

COI<\/h3>\n\n\n\n\n\n\n\n\n\n\n
Tipo<\/strong><\/td>\nValor<\/strong><\/td>\n\u00daltima fecha de observaci\u00f3n<\/strong><\/td>\n<\/tr>\n
MD5<\/td>\nE488D51793FEC752A64B0834DEFB9D1D<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
Nombre de dominio<\/td>\nLynxback.pro<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
Nombre de dominio<\/td>\nlynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoohyd.onion<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
Nombre de dominio<\/td>\nlynxblog.net<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
IPv4-ADDR<\/td>\n185.68.93.122<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
IPv4-ADDR<\/td>\n185.68.93.233<\/td>\n08 de septiembre de 2024<\/td>\n<\/tr>\n
MD5<\/td>\n7E851829EE37BC0CF65A268D1D1BAA7A<\/td>\n17 de febrero de 2025<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

\u00bfQu\u00e9 vendr\u00e1 en 2025?<\/h2>\n

Debido a la represi\u00f3n de los grupos de ransomware, han aparecido los grupos m\u00e1s nuevos registrados, buscando hacerse un nombre. En 2025, Cyberint anticipa varios de estos grupos m\u00e1s nuevos para mejorar sus capacidades y emerger como jugadores dominantes, no solo Ransomhub.<\/p>\n

Lea Cyberint, ahora una compa\u00f1\u00eda de check Point ‘Informe de ransomware S 2024 <\/a>Para las principales industrias y pa\u00edses, un desglose de los 3 principales grupos de ransomware, familias de ransomware que vale la pena se\u00f1alar, reci\u00e9n llegados a la industria, arrestos y noticias, y pron\u00f3sticos de 2025.<\/p>\n

Lea el informe de ransomware 2024 para obtener ideas detalladas y m\u00e1s.<\/a><\/h3>\n

<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n