noviembre 29, 2025
main-cover.jpg

Conclusiones clave:

  • 85 grupos activos de ransomware y extorsión observado en el tercer trimestre de 2025 y refleja el ecosistema de ransomware más descentralizado hasta la fecha.
  • 1.590 víctimas anunciadas en 85 sitios de fugas que mostraron una actividad alta y sostenida a pesar de la presión de las autoridades.
  • 14 nuevas marcas de ransomware lanzado este trimestre, lo que demuestra la rapidez con la que los afiliados se recuperan después de los cierres.
  • La reaparición de LockBit con la versión 5.0 señala una posible recentralización después de meses de fragmentación.

En el tercer trimestre de 2025, Check Point Research registró un récord de 85 grupos activos de ransomware y extorsiónel más alto jamás observado. Lo que alguna vez fue un mercado concentrado dominado por unos pocos gigantes del ransomware como servicio (RaaS) se ha fragmentado en docenas de empresas más pequeñas y de corta duración.

Este aumento de las fugas representa un cambio estructural fundamental. Las mismas presiones de aplicación de la ley y del mercado que han perturbado a los grandes grupos de RaaS han alimentado una ola de actores oportunistas y descentralizados, muchos de los cuales están dirigidos por antiguas subsidiarias que ahora operan de forma independiente.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

Un récord de 85 grupos activos

En más de 85 sitios de filtraciones monitoreados, los operadores de ransomware publicaron lo siguiente:

  • 1.592 nuevas víctimas en el tercer trimestre de 2025.
  • Un promedio de 535 divulgaciones por mes.
  • Un cambio de poder importante: Los diez grupos principales representaron sólo el 56% de las víctimas, en comparación con el 71% a principios de este año.

Los actores más pequeños ahora reportan menos de diez víctimas cada uno, lo que refleja un aumento en las operaciones independientes fuera de las jerarquías tradicionales de RaaS. Muchos de ellos surgieron del colapso de RansomHub, 8Base y BianLian. Catorce nuevos grupos comenzaron a publicar solo en el tercer trimestre, lo que eleva el total a 45 en 2025.

La fragmentación a este nivel socava la previsibilidad que alguna vez fue la ventaja del profesional de la ciberseguridad. Cuando dominaban las grandes marcas de RaaS, los equipos de seguridad pudieron rastrear el comportamiento de los socios y la reutilización de la infraestructura. Mientras tanto, docenas de sitios de filtraciones de corta duración hacen que la atribución de información fugaz y basada en la reputación sea mucho menos confiable.

Proporción de los 10 principales grupos de ransomware en el número total de víctimas, primer trimestre de 2025

Lea el informe completo sobre ransomware del tercer trimestre de 2025.

Impacto limitado de la aplicación de la ley

Varios desmantelamientos de alto perfil de grupos como RansomHub y 8Base este año no han reducido significativamente los volúmenes de ransomware. Los socios desplazados por estas operaciones simplemente se migran o se les cambia el nombre.

El problema es estructural. Las acciones policiales suelen destruir la infraestructura o apoderarse de dominios, pero no de los socios que llevan a cabo los ataques. Cuando una plataforma colapsa, estos operadores se dispersan y se reagrupan en cuestión de días. El resultado es un ecosistema más amplio y resiliente que refleja más las finanzas descentralizadas o las comunidades de código abierto que una jerarquía criminal tradicional.

Esta proliferación también socava la credibilidad del mercado del ransomware. Los equipos más pequeños y de corta duración no tienen ningún incentivo para cumplir los acuerdos de rescate ni proporcionar claves de descifrado. Las tasas de pago, estimadas entre el 25 y el 40 por ciento, continúan disminuyendo a medida que las víctimas pierden confianza en las promesas de los atacantes.

Retorno y recentralización de LockBits

En septiembre de 2025, LockBit 5.0 marcó el regreso de una de las marcas más duraderas del cibercrimen.

Su administrador, LockBitSupp, llevaba meses anunciando un regreso tras su destrucción en 2024 como parte de la Operación Cronos. La nueva versión ofrece:

  • Variantes actualizadas de Windows, Linux y ESXi.
  • Cifrado más rápido y omisión mejorada.
  • Portales de negociación únicos por víctima.

Al menos una docena de víctimas fueron alcanzadas durante el primer mes. La campaña demuestra la confianza y la madurez técnica de los nuevos afiliados.

Para los atacantes, unirse a una marca conocida como LockBit aporta algo que los equipos más pequeños no pueden ofrecer: reputación. Es más probable que las víctimas paguen si creen que realmente recibirán claves de descifrado, confiando en que los principales programas RaaS tendrán mucho cuidado.

Si LockBit puede atraer socios que buscan estructura y credibilidad, podría recentralizar una parte importante de la economía del ransomware. La centralización tiene un doble efecto. Esto facilita el seguimiento, pero aumenta la escala potencial de ataques coordinados.

Nota de rescate de LockBit 5.0 por un ataque

DragonForce y el desempeño del poder

fuerzadragon ilustra otra estrategia de supervivencia: la visibilidad a través de la marca. En septiembre, el grupo afirmó públicamente en foros clandestinos que formaría una coalición con LockBit y Qilin. No se ha verificado ninguna infraestructura compartida y las alianzas parecen más simbólicas que operativas.

Aún así, estos movimientos subrayan la evolución del ransomware hacia el marketing centrado en los negocios. DragonForce se aplica con:

  • Anuncios de asociaciones de afiliados.
  • Servicios de auditoría de datos para analizar datos robados y mejorar el potencial de extorsión.
  • Relaciones públicas con el objetivo de transmitir solidez y fiabilidad.

Los mensajes del grupo reflejan un mercado competitivo donde la imagen y la credibilidad son tan valiosas como la velocidad de cifrado.

Ejemplo de auditoría de DragonForce

Tendencias geográficas y de la industria.

La dirección global en el tercer trimestre de 2025 estuvo en gran medida en línea con los trimestres anteriores, aunque con importantes cambios regionales y sectoriales.

  • Estados Unidos Representaron aproximadamente la mitad de todas las víctimas denunciadas y siguen siendo el principal objetivo de los actores con motivación financiera.
  • Corea del Sur se ubicó por primera vez entre los diez primeros a nivel mundial, gracias casi en su totalidad a la campaña dirigida de Qilin contra las empresas financieras.
  • Europa permaneció muy activo, y Alemania y el Reino Unido se enfrentaron a la presión continua de Safepay e INC Ransom.

Lea el informe completo sobre ransomware del tercer trimestre de 2025

Del lado industrial:

  • Fabricación Y Servicios Empresariales Cada uno de estos casos representó alrededor del 10 por ciento de los casos registrados.
  • Cuidado de la salud se mantuvo estable en el 8 por ciento, aunque algunos grupos como Play están evitando el sector para limitar el control.

Estos cambios muestran que el ransomware está impulsado más por la lógica empresarial que por la ideología. Los jugadores buscan sectores y regiones con datos de alta calidad y baja tolerancia a fallos.

El camino a seguir

El tercer trimestre de 2025 confirma la resiliencia estructural del ransomware. La aplicación de la ley y la presión del mercado ya no están frenando el volumen general; Simplemente cambian el paisaje. Con cada derribo, los actores se dispersan y rápidamente reaparecen con nuevos nombres o se unen a colectivos emergentes.

El regreso de LockBit añade otra capa de complejidad y plantea la cuestión de si el ransomware está entrando en un nuevo ciclo de consolidación. Si LockBit restaura el dominio, puede restaurar cierta previsibilidad, pero también volver a habilitar campañas coordinadas a gran escala que los equipos más pequeños no pueden llevar a cabo.

Para los profesionales de la ciberseguridad, la idea es clara. Ya no basta con perseguir marcas. Los analistas necesitan monitorear Movilidad de afiliados, Superposiciones de infraestructuraY incentivos económicos – las fuerzas subyacentes que sustentan el ransomware, incluso cuando sus caras están fragmentadas.

🔗 Lea el informe completo sobre ransomware del tercer trimestre de 2025 →

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

npm-malware.jpg

Los piratas informáticos norcoreanos utilizan paquetes de 197 npm para distribuir el malware OtterCookie actualizado

noviembre 29, 2025 0
setuptools.jpg

Los scripts de arranque de Python más antiguos crean un riesgo de adquisición de dominio en múltiples paquetes de PyPI

noviembre 28, 2025 0

You may have missed

093355300_1759983741-Ilustrasi_ChatGPT_1.jpg

OpenAI lanza GPT-5.1 con modelos Instant y Thinking y ofrece 8 estilos de conversación

noviembre 29, 2025 0
1764420906_b2075b60-c93d-11f0-bbfd-38e1913829cb.jpeg

El paquete Disney+ Hulu cuesta solo $60 por un año, además de grandes ahorros en Apple TV+, HBO Max y más

noviembre 29, 2025 0
092425800_1764322634-3.jpg

707 BTS restaurados, los residentes de Sumatra y Aceh pueden volver a acceder a Internet después de la inundación

noviembre 29, 2025 0
1764415264_053637800_1763973520-WhatsApp_Image_2025-11-24_at_15.00.32.jpeg

Aquí están los resultados de las grabaciones de la cámara del Redmi 15, ¡del día a la noche!

noviembre 29, 2025 0
air-fryer-chicken.jpg

¿Estás cansado de las comidas pesadas? Estos son los 5 alimentos para freidoras más saludables recomendados por dietistas registrados

noviembre 29, 2025 0
gettyimages-2242108644.jpg

Aquí se explica cómo ver el partido de Ohio State contra Michigan hoy

noviembre 29, 2025 0