Pánico por ransomware: RansomHub desaparece, socios conmocionados, competidores felices – Dark Redistribution Live
Sin palabras de despedida: solo servidores vacíos y atacantes confundidos.
La desaparición repentina de la infraestructura en línea de uno de los grupos de ransomware más activos, RansomHub, sacudió el mercado clandestino. Desde el 1 de abril de 2025, los recursos del grupo quedaron inaccesibles sin explicación alguna, lo que generó preocupación entre sus socios y empujó a algunos a migrar hacia competidores. Según Group-IB, desde febrero se ha registrado un fuerte aumento de actividad en la plataforma de filtraciones Qilin, lo que podría indicar una migración de antiguos miembros de RansomHub.
RansomHub apareció en febrero de 2024 y rápidamente ascendió a posiciones líderes, llenando el vacío tras la caída de LockBit y BlackCat. Su atractivo radicaba en un modelo financiero flexible y un cifrador multiplataforma desarrollado a partir del código del proyecto Knight (anteriormente Cyclops). El cifrador funcionaba en Windows, Linux, FreeBSD, ESXi y era compatible con arquitecturas x86, x64 y ARM. La herramienta evitaba organizaciones en países de la CEI, así como en Cuba, Corea del Norte y China, y podía cifrar tanto sistemas de archivos locales como de red a través de SMB y SFTP.
El panel de control de RansomHub ofrecía amplias funciones para los socios, desde configuraciones hasta la creación de cuentas individuales. En 2024, también se les proporcionó el módulo "Killer" para desactivar programas de seguridad mediante controladores vulnerables, aunque su uso cesó debido a su alta detectabilidad. Además, los ataques del grupo estaban relacionados con el JavaScript malicioso SocGholish, que se propagaba a través de sitios WordPress comprometidos y entregaba un backdoor en Python.
En noviembre, se prohibió oficialmente a los miembros del grupo atacar a instituciones gubernamentales, alegando un alto nivel de riesgo y baja rentabilidad. A pesar de estos intentos por mantener la disciplina, los problemas de infraestructura generaron gran inquietud entre los socios. Según GuidePoint Security, en el foro clandestino RAMP apareció una declaración de DragonForce anunciando la migración de RansomHub a su plataforma como parte de la creación de una nueva alianza: el DragonForce Ransomware Cartel.
Cambios similares se observaron en otros actores. BlackLock, cuya plataforma fue atacada previamente por DragonForce, ahora colabora con ellos. Secureworks CTU señala que DragonForce ofrece un enfoque novedoso: infraestructura y herramientas sin imponer su propio malware, permitiendo a los socios lanzar sus propias "marcas".
Junto a esto, se observa una creciente actividad de nuevos grupos. Anubis, surgido en febrero de 2025, renuncia al cifrado y recurre a la extorsión mediante la publicación de "investigaciones" sobre los datos robados. La variante ELENOR-corp, basada en Mimic, se especializa en ataques a instituciones médicas, utilizando una utilidad en Python para robar datos del portapapeles, técnicas avanzadas de camuflaje y modificación de políticas de restauración del sistema.
También figuran nuevas amenazas como CrazyHunter, que utiliza la herramienta abierta ZammoCide para evadir protecciones, y Elysium —una variante actualizada de Ghost— que desactiva servicios y copias de seguridad. FOG distribuye archivos ZIP maliciosos haciéndose pasar por entidades gubernamentales de EE. UU. Hellcat se infiltra en redes a través de vulnerabilidades desconocidas en Atlassian Jira. Hunters International adoptó un nuevo modelo, World Leaks, centrado en filtraciones de datos. Interlock emplea un esquema por etapas con descarga de backdoors y malware. Qilin ataca mediante phishing que suplanta notificaciones de ScreenConnect, apuntando a clientes de proveedores de servicios gestionados (MSP).
Incluso tras el golpe a gigantes como LockBit, el panorama cibercriminal no pierde actividad, sino que se reestructura hacia mayor flexibilidad, fragmentación y nuevos modelos de colaboración. Los grupos de ransomware continúan adaptándose a condiciones externas, incluidas las acciones de las autoridades, lo que demuestra la persistencia de las amenazas y la necesidad de estrategias de defensa en constante evolución.