Grupos de ransomware unen fuerzas: LockBit, DragonForce y Qilin

Redazione RHC : 9 octubre 2025 11:46

Tres importantes grupos de ransomware —DragonForce, Qilin y LockBit— han anunciado una alianza. Se trata, en esencia, de un intento de coordinar las actividades de varios operadores importantes de ransomware como servicio (RaaS); los analistas advierten que dicha consolidación podría aumentar el alcance y la eficacia de los ataques.

DragonForce ha iniciado la fusión. A principios de septiembre, casi simultáneamente con el lanzamiento de LockBit 5.0, representantes de DragonForce propusieron públicamente a sus colegas que pusieran fin a sus disputas internas y acordaran las reglas del mercado: igualdad de condiciones, fin a los insultos públicos y apoyo mutuo.

LockBit respondió positivamente y posteriormente DragonForce anunció oficialmente la alianza entre las tres bandas, invitando a otros equipos de ransomware a unirse a ellos.

Los analistas consideran que esto indica una tendencia peligrosa. Un informe de ReliaQuest del tercer trimestre de 2025 señaló que la fusión podría dar lugar a campañas más frecuentes y coordinadas, así como a una mayor propagación de los ataques, incluso contra infraestructuras críticas.

Es posible que la alianza ayude a LockBit a recuperarse de un importante ataque policial en 2024. Posteriormente, en febrero, operaciones internacionales condujeron a la incautación de servidores, nombres de dominio y claves de descifrado; en mayo, los investigadores también vincularon al grupo con un individuo específico, Dmitry Yuryevich Khoroshev, quien, sin embargo, sigue prófugo. Estas acciones minaron la confianza de sus afiliados, y muchos antiguos socios de LockBit se han unido a otros grupos.

Es importante destacar que aún no se ha creado una infraestructura de alianza unificada : no ha surgido ningún sitio web común de volcado de datos ni ningún portal único de filtración de datos, y cada banda continúa atribuyéndose la responsabilidad de sus propias operaciones.

Qilin, por ejemplo, anunció públicamente su ataque a Asahi Beer, mientras que LockBit y DragonForce siguen publicando sus ataques por separado. No obstante, compartir experiencia y recursos, desde herramientas hasta bases de datos de clientes, amplía inherentemente las capacidades de los atacantes.

Preocupa especialmente el cambio en la retórica de LockBit desde el lanzamiento de la versión 5.0: en su documentación, el grupo ha eliminado tabúes previos y ha declarado explícitamente que los ataques a infraestructuras críticas (centrales eléctricas e instalaciones similares) ahora están permitidos a menos que se llegue a un acuerdo por separado con el FBI. Esto significa que, al menos aparentemente, los operadores ahora consideran aceptable atacar sectores que antes evitaban.

Mientras tanto, un grupo de hackers de habla inglesa también está desarrollándose: Scattered Spider, ShinyHunters y Lapsus$ han anunciado una nueva coalición llamada Scattered Lapsus$ Hunters y han lanzado su propio sitio de filtraciones, que ya ha publicado datos sobre varias empresas.

ReliaQuest advierte que este grupo podría evolucionar hasta convertirse en un proveedor de RaaS, combinando experiencia en ingeniería social con tecnologías de cifrado.

Los investigadores consideran el surgimiento de estas alianzas como una transición hacia una nueva fase en la economía criminal: en lugar de una competencia fragmentada, los grupos de ransomware están comenzando a forjar vínculos comerciales estables, compartiendo código, infraestructura y canales de distribución de datos. Esto hace que los ataques sean más generalizados y difíciles de detener, a medida que aumentan simultáneamente los recursos, el tamaño y la profesionalidad de los delincuentes.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli