Redazione RHC : 1 septiembre 2025 07:46
El ransomware sigue representando una de las amenazas más generalizadas y dañinas en el panorama global de la ciberseguridad. En el informe periódico DarkMirror, elaborado por el laboratorio de inteligencia DarkLab de Red Hot Cyber, que abarca el primer semestre de 2025, los ataques de ransomware mostraron una evolución significativa tanto en las técnicas utilizadas como en los objetivos atacados. Este informe ofrece un resumen de las principales tendencias emergentes, centrándose en datos cuantitativos y sus implicaciones para la ciberseguridad.
Se analizan las tendencias de amenazas de ransomware en Italia y el mundo para el segundo semestre de 2025, centrándose en las tendencias emergentes, las tácticas de los grupos criminales y el impacto en diversos sectores. La sección «Agentes de Amenazas» se centra en las nuevas amenazas (infiltrados), los modelos de afiliación y monetización, la evolución de los servicios RaaS, las operaciones de las fuerzas del orden, los Agentes de Acceso Inicial (IaB), las Vulnerabilidades y Exposiciones Comunes (CVE) y los métodos de mitigación.
El informe fue elaborado por el grupo DarkLab, en concreto por Pietro Melillo, Luca Stivali, Edoardo Faccioli, Raffaela Crisci, Alessio Stefan, Inva Malaj y Massimiliano Brolli.
Descargar DarkMirror H1-2025: Informe sobre Amenazas de Ransomware
El fenómeno del ransomware en 2025 continuó representando una amenaza persistente y creciente (como se aprecia en el extracto de Pietro Melillo e Inva Malaj), afectando por igual tanto a las economías desarrolladas como a las en desarrollo. Según datos recopilados por Dark Lab, se han documentado 3535 víctimas de ataques a nivel mundial, lo que representa un aumento de aproximadamente 1000 incidentes en comparación con el primer semestre de 2024. Esta cifra representa solo una fracción de la verdadera magnitud del problema. Estados Unidos sigue siendo el país más afectado, con 1861 víctimas documentadas, seguido de Canadá con 202, el Reino Unido con 152 y Alemania con 145.
La industria y los servicios emergen como los sectores económicos más afectados por los ataques de ransomware. Con 595 ataques registrados, el sector industrial es el más afectado debido a las vulnerabilidades en su infraestructura informática. Le sigue el sector servicios con 580 ataques, lo que pone de manifiesto riesgos significativos en la gestión de datos críticos. El comercio minorista, con 371, y la construcción, con 310, también son sectores particularmente expuestos.
En conclusión, el ransomware sigue siendo uno de los negocios más consolidados y rentables del mundo criminal, y no muestra signos de desaceleración, como lo demuestran las tendencias de este informe. Esto demuestra que, a pesar de los importantes esfuerzos realizados por las organizaciones en los últimos años, esta amenaza sigue siendo una de las más insidiosas, a la que las empresas se ven obligadas a enfrentarse a diario.
Descargar DarkMirror H1-2025: Informe sobre Amenazas de Ransomware
Durante el período de observación, se documentaron 85 ataques de ransomware en Italia, lo que subraya la urgencia de reforzar la seguridad en los sectores más vulnerables. La actividad de ransomware se concentra principalmente en los sectores industrial y de servicios, considerados prioritarios por los actores de amenazas, mientras que la administración pública, la sanidad y la educación, aunque menos afectadas, siguen en riesgo.
Unos pocos grupos dominan el panorama, con Akira a la cabeza y otros como Qilin y Sarcoma con una actividad significativa, acompañados por una serie de actores menos frecuentes pero consistentes.
El grupo Akira destaca como el actor de amenazas más activo, responsable de 15 ataques. Le siguen Qilin con 9 ataques, Sarcoma con 8, y Fog y Ransomhub, ambos con 5. Lockbit3 totaliza 4 ataques, mientras que Dragonforce y Lynx cuentan con 3 cada uno. Nova y Arcusmedia cierran la clasificación con 2 ataques cada una.
Descargar DarkMirror H1-2025: Informe sobre Amenazas de Ransomware
Según el análisis sectorial, el ransomware muestra una clara predilección por el sector industrial, el más afectado a nivel mundial con 595 ataques. Le siguen el sector servicios (580 ataques) y el sector minorista (371 ataques), lo que demuestra que los ataques no afectan a las infraestructuras críticas ni a los servicios esenciales.
Los sectores de la construcción (310 ataques) y las finanzas (277 ataques) también alcanzaron los primeros puestos, lo que pone de relieve la creciente preocupación por la seguridad y la resiliencia de estos sectores.
El sector sanitario, Con 164 ataques, sigue siendo particularmente vulnerable, pero le preceden los sectores industrial, de servicios, minorista, de la construcción, financiero y tecnológico (180 ataques). Los sectores público, del transporte y jurídico también son objetivos frecuentes, lo que demuestra cómo la dependencia de las tecnologías digitales y la gestión de datos son factores que aumentan el atractivo para los ciberdelincuentes.
Descargar DarkMirror H1-2025: Informe sobre Amenazas de Ransomware
2024 fue un año de grandes cambios para el ecosistema que alimenta el ransomware y otras amenazas digitales. Las operaciones de agencias gubernamentales y agencias de inteligencia han impactado gravemente a sistemas RaaS como LockBit, las campañas de robo de información y el malware como servicio (MaaS), además de haber arrestado a algunos de los responsables de estas acciones. La filtración del backend de LockBit (junto con los análisis de las billeteras RaaS) ha llevado a varios analistas a reflexionar sobre la disminución en los pagos de rescates, lo que ha provocado un aumento en los archivos robados publicados en el DLS de los grupos, según lo previsto por el modelo de extorsión de los atacantes. Esto ha provocado un aumento en el número de víctimas (visibles) observadas por varios analistas de amenazas. En este informe, presentaremos nuestro análisis de estos movimientos, intentando minimizar la amenaza, que, a pesar de la respuesta de las fuerzas del orden, no parece tener intención de desaparecer.
El ransomware sigue siendo una de las amenazas más persistentes e impactantes del panorama actual, y evoluciona no solo a nivel operativo, sino también en términos de modelos de negocio, impulsando alternativas para incentivar a los operadores a continuar con sus campañas. El surgimiento de organizaciones como DragonForce destaca un enfoque proactivo para compensar el declive de RaaS, como ALPHV/BlackCat y LockBit, que buscan recuperar cuota de mercado y afiliados que se están expandiendo a RaaS existentes o creando nuevos.
Colectivos como Cl0p y Hunters están cambiando su metodología y enfoque de monetización, eliminando el uso de su ransomware (Hunters) o centrándose en el descubrimiento, la creación y el uso de ataques de día cero a escala (Cl0p). Los actores involucrados están demostrando una resiliencia extraordinaria que va mucho más allá del simple cambio de imagen al que estábamos acostumbrados en años anteriores. Esto, sumado a la fragmentación de los diversos RaaS, dificulta la protección contra las campañas en curso, dada su naturaleza silenciosa y la dificultad de detección técnica y operativa. La otra cara de la moneda es la presencia de actores no identificados que buscan activamente el engaño de RaaS (como la filtración de LockBit y la desfiguración de Everest), lo que proporciona a la comunidad de seguridad de la información material valioso para su análisis.
Hoy más que nunca, dada la complejidad del panorama, la inteligencia de amenazas debe combinarse con las capacidades técnicas de los defensores para responder adecuadamente al cambiante panorama del ransomware. Además, debemos apoyar las operaciones de las fuerzas del orden que, si bien no eliminan por completo el modelo RaaS, pueden interrumpir y sabotear las funciones de RaaS y MaaS, intentando disuadir o arrestar a los responsables, creando un clima cada vez más hostil para ellos. Aunque no se ha podido contactar con algunas personas específicas (por razones geográficas, políticas o técnicas), otros componentes clave (por ejemplo, desarrolladores, negociadores, operadores, afiliados) han sido detenidos y llevados ante la justicia.
El primer semestre de 2025, a pesar de la (aparente) disminución en los pagos de rescates y las actividades policiales y de inteligencia, ha puesto a prueba las amenazas. A pesar de que se han desarmado algunos casos aislados, aún logran mantener un entorno próspero para sus actividades, lo que subraya la importancia de la ciberseguridad para las organizaciones, que debe ser presente y continua a lo largo del tiempo.
En conclusión, el ransomware sigue siendo uno de los negocios más consolidados y rentables del submundo criminal, y no muestra signos de desaceleración, como lo demuestran las tendencias de este informe. Esto demuestra que, a pesar de los importantes esfuerzos realizados por las organizaciones en los últimos años, esta amenaza sigue siendo una de las más insidiosas a las que las empresas se ven obligadas a enfrentarse a diario.
Descargar DarkMirror H1-2025: Informe sobre Amenazas de Ransomware
RedazioneSe ha descubierto una falla crítica de día cero, clasificada como CVE-2025-6543, en los sistemas Citrix NetScaler. Esta vulnerabilidad ha sido explotada activamente por hackers maliciosos desde mayo...
Una falla de seguridad en las apps de mensajería de WhatsApp para iOS y macOS de Apple ha sido corregida, según informó la compañía, tras ser probablemente explotada ampliamente junto con una vul...
NetScaler ha alertado a los administradores sobre tres nuevas vulnerabilidades en NetScaler ADC y NetScaler Gateway, una de las cuales ya se está utilizando en ataques activos. Hay actualizaciones di...
Un Jueves Negro para millones de usuarios de Microsoft Teams en todo el mundo. Una función clave de la plataforma de colaboración, la apertura de documentos incrustados de Office, ha sido repentinam...
Mientras que el auge de los robots en China, el mayor mercado y productor mundial de robots, atrae la atención de la industria global de las tecnologías de la información (TI), la aparición de un ...
