Puntos importantes:
Observamos 85 grupos activos de ransomware y extorsión en el tercer trimestre de 2025, lo que refleja el ecosistema de ransomware más descentralizado de la historia. 1.590 víctimas quedaron expuestas en 85 sitios pirateados, lo que indica altos niveles de actividad continua a pesar de la presión de las autoridades. Este trimestre se produjo el lanzamiento de 14 nuevas marcas de ransomware, lo que demuestra la rapidez con la que los afiliados pueden reconstruirse después de la eliminación. El resurgimiento de LockBit en la versión 5.0 señala una posible recentralización después de meses de fragmentación.
En el tercer trimestre de 2025, Check Point Research registró 85 grupos de extorsión y ransomware activos, el número más alto registrado. Lo que alguna vez fue un mercado concentrado dominado por unas pocas empresas grandes de ransomware como servicio (RaaS) ahora se ha dividido en docenas de operaciones pequeñas y de corta duración.
Este aumento en las ubicaciones de las fugas representa un cambio estructural fundamental. Las mismas presiones de aplicación de la ley y del mercado que perturbaron a los grandes grupos de RaaS están alimentando una ola de entidades descentralizadas y oportunistas, muchas de las cuales están dirigidas por antiguos afiliados y ahora operan de forma independiente.
Lea el informe completo sobre ransomware del tercer trimestre de 2025
Registrados 85 grupos activos
En más de 85 sitios filtrados monitoreados, los operadores de ransomware publicaron la siguiente información:
Hubo 1.592 nuevas víctimas en el tercer trimestre de 2025. Un promedio de 535 denuncias por mes. Cambio de poder significativo: Los 10 principales grupos representan sólo el 56% de las víctimas, frente al 71% de principios de este año.
Los actores de amenazas a pequeña escala ahora publican menos de 10 víctimas cada uno, lo que refleja un aumento en la actividad independiente fuera de las jerarquías tradicionales de RaaS. Gran parte provino del colapso de RansomHub, 8Base y BianLian. Sólo en el tercer trimestre, 14 nuevos grupos comenzaron a publicar, lo que eleva el total para 2025 a 45.
Este nivel de fragmentación socava la previsibilidad que tienen los profesionales de la seguridad cibernética. Cuando las grandes marcas de RaaS dominaban, los equipos de seguridad podían rastrear el comportamiento de los afiliados y la reutilización de la infraestructura. Actualmente, con docenas de sitios filtrados temporalmente, la atribución es temporal y la inteligencia basada en la reputación es mucho menos confiable.
Porcentaje del total de víctimas por los 10 principales grupos de ransomware (primer trimestre de 2025)
Lea el informe completo sobre ransomware del tercer trimestre de 2025.
Influencia limitada de las fuerzas del orden.
Aunque este año ha habido algunas eliminaciones de alto perfil dirigidas a grupos como RansomHub y 8Base, el volumen de ransomware no ha disminuido significativamente. Los afiliados reemplazados por estas operaciones simplemente migran o cambian de marca.
El problema es estructural. Las fuerzas del orden normalmente desmantelan la infraestructura y se apoderan de los dominios en lugar de que los afiliados realicen los ataques. Si la plataforma colapsa, los operadores se dispersarán y se reagruparán en unos días. El resultado es un ecosistema más amplio y resiliente que refleja las finanzas descentralizadas y las comunidades de código abierto más que las jerarquías criminales tradicionales.
Esta proliferación también socava la credibilidad del mercado del ransomware. Los equipos pequeños y de corta duración no tienen ningún incentivo para cumplir los acuerdos de rescate ni proporcionar claves de descifrado. Las tasas de pago, estimadas en sólo un 25-40%, continúan disminuyendo a medida que las víctimas pierden la fe en las promesas de los atacantes.
Restablecimiento y recentralización de LockBit
En septiembre de 2025, LockBit 5.0 marcó el regreso de una de las marcas más duraderas del cibercrimen.
Su administrador, LockBitSupp, había estado insinuando un regreso durante meses después de su destrucción en 2024 durante la Operación Kronos. La nueva versión proporciona:
Versiones actualizadas de Windows, Linux y ESXi. Cifrado más rápido y mejor evasión. Portal de negociación único para cada víctima.
En el primer mes se produjeron al menos 12 víctimas. Esta campaña muestra la nueva confianza y madurez técnica del afiliado.
Para los atacantes, unirse a una marca conocida como LockBit aporta algo que un equipo pequeño no puede ofrecer: reputación. Es más probable que las víctimas paguen si creen que realmente recibirán una clave de descifrado, cuidadosamente mantenida por un gran programa RaaS.
Si LockBit logra atraer afiliados que buscan estructura y confiabilidad, podría recentralizar una parte importante de la economía del ransomware. La centralización tiene un doble efecto. Esto facilita el seguimiento, pero aumenta la escala potencial de un ataque coordinado.
Nota de rescate por el ataque LockBit 5.0
Rendimiento de fuerza y poder del dragón.
DragonForce demuestra otra estrategia de supervivencia: la visibilidad a través de la marca. En septiembre, el grupo afirmó públicamente su afiliación tanto con Rockbit como con Kirin en foros clandestinos. La infraestructura compartida no ha sido probada y la asociación parece ser más simbólica que operativa.
Aún así, estos movimientos resaltan la evolución del ransomware hacia un marketing de estilo corporativo. DragonForce anuncia:
Anuncio de asociación de afiliados. Un servicio de auditoría de datos que analiza datos robados y aumenta el poder de extorsión. Actividades de relaciones públicas encaminadas a transmitir solidez y fiabilidad.
El mensaje de este grupo refleja un mercado competitivo donde la imagen y la credibilidad son tan importantes como la velocidad de cifrado.
Ejemplo de auditoría de DragonForce
Tendencias geográficas y de la industria
Los objetivos globales para el tercer trimestre de 2025 reflejan en gran medida los de trimestres anteriores, pero con cambios claros en las regiones y sectores.
Estados Unidos representa aproximadamente la mitad de todas las víctimas reportadas y continúa siendo un objetivo principal para los atacantes con motivación financiera. La entrada de Corea del Sur por primera vez en el top 10 del mundo se debe casi exclusivamente a la intensa campaña de Qilin contra las empresas financieras. Europa sigue activa, y Alemania y el Reino Unido siguen bajo presión por parte de Safepay e INC Ransom.
Lea el informe completo sobre ransomware del tercer trimestre de 2025
Del lado industrial:
La manufactura y los servicios empresariales representaron cada uno alrededor del 10% de los casos registrados. La sanidad se estabilizó en el 8%, aunque algunos grupos, como Play, están evitando este sector para reducir el escrutinio.
Estos cambios demuestran cómo el ransomware se guía por la lógica empresarial más que por la ideología. Los atacantes persiguen sectores y regiones con datos de alto valor y baja tolerancia al tiempo de inactividad.
El camino por delante
El tercer trimestre de 2025 confirmará la resiliencia estructural del ransomware. La ejecución y las presiones del mercado ya no suprimen el volumen total de operaciones. Simplemente remodelan el paisaje. Después de cada eliminación, los actores se dispersan y rápidamente resurgen con nuevos nombres o se unen a colectivos emergentes.
El resurgimiento de LockBit añade mayor complejidad y plantea dudas sobre si el ransomware está entrando en un nuevo ciclo de consolidación. Si Rockbit recupera su dominio, es posible que se restablezca cierta previsibilidad, pero una vez más podría ser posible realizar campañas coordinadas a gran escala que no pueden ser llevadas a cabo por equipos pequeños.
Para los profesionales de la ciberseguridad, la conclusión es clara. El seguimiento de las marcas ya no es suficiente. Los analistas necesitan monitorear la movilidad de los afiliados, la duplicación de infraestructura y los incentivos económicos: las fuerzas subyacentes que sostienen al ransomware incluso cuando su superficie se fragmenta.
🔗 Lea el informe completo sobre ransomware del tercer trimestre de 2025 →
Source link
