Los investigadores de ciberseguridad han revelado que la infraestructura en l\u00ednea de Ransomhub se ha desconectado “inexplicablemente” a partir del 1 de abril de 2025, lo que provoc\u00f3 preocupaciones entre los afiliados de la operaci\u00f3n de ransomware como servicio (RAAS).<\/p>\n
Grupo de la Compa\u00f1\u00eda de Ciberseguridad Singapur-IB dicho<\/a> que esto puede haber causado que los afiliados migren a Qilin, dado que “divulgaciones en su DLS [data leak site] he duplicado desde febrero “. <\/p>\n Se estima que Ransomhub, que surgi\u00f3 por primera vez en febrero de 2024, ha robado datos de m\u00e1s de 200 v\u00edctimas. Reemplaz\u00f3 a dos grupos Raas de alto perfil, Lockbit y Blackcat, para convertirse en un favorito, cortejando a sus afiliados, incluidas la ara\u00f1a dispersa y Cuerpo malvado<\/a>con lucrativas divisiones de pago.<\/p>\n “Tras una posible adquisici\u00f3n de la aplicaci\u00f3n web y el c\u00f3digo fuente de ransomware de Knight (anteriormente Cyclops), Ransomhub se elev\u00f3 r\u00e1pidamente en la escena de ransomware, gracias a las caracter\u00edsticas din\u00e1micas de su cifrado multiplataforma y un modelo agresivo y amigable con los que ofrecen incentivos financieros sustanciales, dijo Group-IB en un informe.<\/p>\n El ransomware de RansomHub est\u00e1 dise\u00f1ado para funcionar en Windows, Linux, FreeBSD y ESXI, as\u00ed como en arquitecturas X86, X64 y ARM, al tiempo que evita a las empresas atacantes ubicadas en la Comunidad de Estados Independientes (CIS), Cuba, Corea del Norte y China. Tambi\u00e9n puede cifrar sistemas de archivos locales y remotos a trav\u00e9s de SMB y SFTP.<\/p>\n El panel de afiliados, que se utiliza para configurar el ransomware a trav\u00e9s de una interfaz web, presenta una secci\u00f3n de “miembros” dedicada donde los miembros del grupo de afiliados tienen la opci\u00f3n de crear sus propias cuentas en el dispositivo.<\/p>\n Los afiliados tambi\u00e9n se les ha proporcionado un m\u00f3dulo “asesino” al menos de junio de 2024 para terminar y evitar el software de seguridad utilizando controladores vulnerables conocidos (BYOVD). Sin embargo, la herramienta se ha suspendido desde entonces debido a altas tasas de detecci\u00f3n.<\/p>\n Por esentire<\/a> Y tambi\u00e9n se han observado que los ataques cibern\u00e9ticos de Trend Micro aprovechan un malware JavaScript conocido como Socgholish (tambi\u00e9n conocido como FakeUpdates) a trav\u00e9s de sitios comprometidos de WordPress para desplegar una puerta trasera basada en Python conectada a los filiales de Ransomhub.<\/p>\n “El 25 de noviembre, los operadores del grupo publicaron una nueva nota en su panel de afiliados anunciando que cualquier ataque contra cualquier instituci\u00f3n gubernamental est\u00e1 estrictamente prohibido”, dijo la compa\u00f1\u00eda. “Por lo tanto, se invit\u00f3 a todos los afiliados a abstenerse de tales actos debido al alto riesgo y el ‘retorno de la inversi\u00f3n'”.<\/p>\n La cadena de eventos despu\u00e9s del tiempo de inactividad de la infraestructura de Ransomhub, seg\u00fan la seguridad de GuidePoint, ha llevado a un “disturbio de afiliados”, con el grupo rival Raas DragonForce reclamando en el foro de rampas que Ransomhub “decidi\u00f3 pasar a nuestra infraestructura” bajo un nuevo “Cartel de ransmware de Dragonforce”.<\/p>\n Vale la pena se\u00f1alar que se eval\u00faa que otro actor de Raas llamado Blacklock ha comenzado a colaborar con Dragonforce despu\u00e9s de que este \u00faltimo desfigur\u00f3 su sitio de fuga de datos a fines de marzo de 2025.<\/p>\n “Estas discusiones en los foros de RAMP destacan el entorno incierto en el que los afiliados de Ransomhub parecen estar en este momento, aparentemente desconocidos del estado del grupo y su propio estado en medio de una posible ‘adquisici\u00f3n’,” GuidePoint Security dicho<\/a>.<\/p>\n “Queda por ver si esta inestabilidad significar\u00e1 el principio del fin de Ransomhub, aunque no podemos evitar tener en cuenta que el grupo que salt\u00f3 a la fama prometiendo estabilidad y seguridad para los afiliados ahora puede haber fallado o traicionado a los afiliados en ambos cargos”.<\/p>\n Secureworks Counter Amenaza (CTU), que tambi\u00e9n ha rastreado el cambio de marca de Dragonforce como un “cartel”, dijo que el esfuerzo es parte de un nuevo modelo de negocio dise\u00f1ado para atraer a los afiliados y aumentar las ganancias al permitir que los afiliados creen sus propias “marcas”.<\/p>\n Esto es diferente de un esquema RAAS tradicional donde los desarrolladores centrales establecen la infraestructura web oscura y reclutan afiliados de la subterr\u00e1nea del delito cibern\u00e9tico, que luego realizan los ataques despu\u00e9s de adquirir acceso a las redes objetivo de un corredor de acceso inicial (IAB) a cambio de el 70% del pago del rescate.<\/p>\n “En este modelo, DragonForce proporciona su infraestructura y herramientas, pero no requiere afiliados para implementar su ransomware”, la compa\u00f1\u00eda propiedad de Sophos dicho<\/a>. “Las caracter\u00edsticas anunciadas incluyen paneles de administraci\u00f3n y clientes, herramientas de cifrado y negociaci\u00f3n de rescate, un sistema de almacenamiento de archivos, un sitio de fuga basado en Tor y un dominio .doni\u00f3n y servicios de soporte”.<\/p>\n Otro grupo de ransomware para adoptar t\u00e1cticas novedosas es ANUBIS, que surgi\u00f3 en febrero de 2025 y utiliza una opci\u00f3n de extorsi\u00f3n de “rescate de datos” para ejercer presi\u00f3n sobre las v\u00edctimas al amenazar con publicar un “art\u00edculo de investigaci\u00f3n” que contiene un an\u00e1lisis de los datos robados y las autoridades regulatorias o de cumplimiento del incidente.<\/p>\n “A medida que el ecosistema de ransomware contin\u00faa flexion\u00e1ndose y adaptando, estamos viendo una experimentaci\u00f3n m\u00e1s amplia con diferentes modelos operativos”, dijo Rafe Pilling, directora de inteligencia de amenazas de Secureworks CTU. “Lockbit hab\u00eda dominado el esquema de afiliados, pero a ra\u00edz de la acci\u00f3n de ejecuci\u00f3n contra ellos, no es sorprendente ver que se prueben y prueben nuevos esquemas y m\u00e9todos”.<\/p>\n El desarrollo coincide con la aparici\u00f3n de una nueva familia de ransomware llamada Elenor-Corp, una variante del ransomware MIMIC, que se dirige activamente a las organizaciones de atenci\u00f3n m\u00e9dica despu\u00e9s de cosechar credenciales utilizando un ejecutable de Python capaz de robar contenido de portapapeles.<\/p>\n “La variante Elenor-Corp del ransomware MIMIC exhibe mejoras en comparaci\u00f3n con versiones anteriores, empleando medidas sofisticadas anti-forenses, manipulaci\u00f3n de procesos y estrategias de cifrado”, el investigador de Morphisec Michael Gorelik dicho<\/a>.<\/p>\n “Este an\u00e1lisis destaca la sofisticaci\u00f3n en evoluci\u00f3n de los ataques de ransomware, enfatizando la necesidad de defensas proactivas, respuesta de incidentes r\u00e1pidos y estrategias de recuperaci\u00f3n s\u00f3lidas en industrias de alto riesgo como la atenci\u00f3n m\u00e9dica”.<\/p>\n Anubis y Elenor-Corp se encuentran entre una nueva cosecha de actores de ransomware que han energizado el paisaje, incluso cuando la amenaza persistente muestra signos de astilla en grupos m\u00e1s peque\u00f1os y con frecuencia se vuelve a usar para evadir el escrutinio y mantener la continuidad operativa, reflejo<\/a> un “cambio m\u00e1s amplio hacia el sigilo y la flexibilidad” – <\/p>\n Estas campa\u00f1as sirven para resaltar el naturaleza en constante evoluci\u00f3n del ransomware<\/a> y demostrar la capacidad de los actores de amenaza para innovar frente a las interrupciones y fugas de la aplicaci\u00f3n de la ley.<\/p>\n De hecho, un nuevo an\u00e1lisis de los 200,000 mensajes internos de chat de Black Basta del Foro de Respuesta a Incidentes y Equipos de Seguridad (primero) ha revelado c\u00f3mo el grupo de ransomware realiza sus operaciones, centr\u00e1ndose en t\u00e9cnicas avanzadas de ingenier\u00eda social y explotando vulnerabilidades de VPN.<\/p>\n “Un miembro conocido como ‘Nur’ tiene la tarea de identificar objetivos clave dentro de las organizaciones que su objetivo es atacar”, primero dicho<\/a>. “Una vez que ubican a una persona de influencia (como un gerente o personal de recursos humanos), inician el contacto a trav\u00e9s de la llamada telef\u00f3nica”.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/05\/Ransomhub-se-oscurecio-el-1-de-abril-Los-afiliados-huyeron.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n\n
<\/a><\/div>\n