Tres destacados grupos de ransomware, DragonForce, LockBit y Qilin, han anunciado una nueva alianza estratégica de ransomware que destaca los continuos cambios en el panorama de las amenazas cibernéticas.
ReliaQuest dijo en un informe compartido con The Hacker News que la coalición es vista como un intento por parte de atacantes con motivación financiera de llevar a cabo ataques de ransomware más efectivos.
«Si bien se anunció poco después del regreso de LockBit, se espera que esta asociación facilite el intercambio de tecnología, recursos e infraestructura, fortaleciendo las capacidades operativas de cada grupo», dijo la compañía en su Informe de ransomware del tercer trimestre de 2025.
«Esta asociación podría ayudar a restaurar la reputación de Rockbit entre sus afiliados luego del cierre del año pasado, lo que provocaría un aumento en los ataques contra infraestructura crítica y potencialmente extendería la amenaza a áreas que antes se consideraban de bajo riesgo».
La asociación con Qilin no es sorprendente, dado que Qilin se ha convertido en el grupo de ransomware más activo en los últimos meses, cobrando poco más de 200 víctimas solo en el tercer trimestre de 2025.
«En el tercer trimestre de 2025, Qilin apuntó de manera desproporcionada a organizaciones con sede en América del Norte», dijo ZeroFox en su informe resumido de ransomware del tercer trimestre de 2025. «El ritmo operativo de Kirin comenzó a aumentar significativamente en el cuarto trimestre de 2024, cuando el grupo llevó a cabo al menos 46 ataques».
Este desarrollo coincidió con la introducción de LockBit 5.0, que tiene la capacidad de apuntar a sistemas Windows, Linux y ESXi. La última versión se promocionó por primera vez en el foro RAMP darknet el 3 de septiembre de 2025, en celebración del sexto aniversario del programa de afiliados.
Rockbit sufrió un duro golpe a principios de 2024 luego de una operación policial llamada Kronos que se apoderó de su infraestructura y condujo al arresto de algunos miembros. En su apogeo, el grupo atacó a más de 2.500 víctimas en todo el mundo y se estima que recibió más de 500 millones de dólares en pagos de rescate.
«Si este grupo es capaz de reconstruir la confianza entre sus afiliados, podría resurgir como una amenaza de ransomware dominante, impulsada por motivaciones financieras o un deseo de venganza contra las autoridades», dijo Lilliaquest.
Incidentes semanales de I+D para el tercer trimestre de 2025
El resurgimiento de LockBit y su asociación se produce cuando el actor de amenazas conocido como Scattered Spider parece estar preparándose para lanzar su propio programa de ransomware como servicio (RaaS) llamado ShinySp1d3r, que sería el primer servicio de este tipo del equipo de extorsión de habla inglesa.
ReliaQuest anunció que está rastreando un total de 81 sitios de violación de datos. Se trata de un aumento significativo con respecto a los 51 sitios reportados a principios de 2024. Las empresas del sector de servicios profesionales, científicos y técnicos representaron el mayor número de víctimas durante este período, superando las 375 empresas.
Otros sectores comúnmente afectados son la manufactura, la construcción, la atención médica, las finanzas y los seguros, el comercio minorista, los servicios de alojamiento y alimentación, la educación, las artes y el entretenimiento, la información y los bienes raíces.
Otra tendencia notable es el aumento de los ataques de ransomware dirigidos a países como Egipto, Tailandia y Colombia. Esto muestra que los actores de amenazas se están expandiendo más allá de los «puntos críticos tradicionales» como Europa y Estados Unidos para evadir la vigilancia policial. La mayoría de las víctimas que figuran en el sitio de violación de datos se encuentran en EE. UU., Alemania, Reino Unido, Canadá e Italia.
En el tercer trimestre de 2025 se produjeron un total de al menos 1.429 incidentes de ransomware y extorsión digital (I+DE), frente a los 1.961 observados en el primer trimestre de 2025, según datos de ZeroFox. Se descubrió que Qilin, Akira, INC Ransom, Play y SafePay eran responsables de aproximadamente el 47 por ciento de los ataques globales de I+D en el segundo y tercer trimestre de 2025.
«El ataque desproporcionado a organizaciones con sede en América del Norte puede deberse en parte a las motivaciones geopolíticas y creencias ideológicas de grupos amenazadores motivados financieramente, alimentados por la oposición al discurso político y social ‘occidental'», dijo la compañía.
«América del Norte alberga una variedad de industrias sólidas que conforman una superficie de ataque digital en rápido crecimiento. La integración generalizada de tecnologías como servicios de redes en la nube y dispositivos de Internet de las cosas está contribuyendo a la facilidad de acceso a los activos de América del Norte».
Source link
