15 ejemplos de ataques de ransomware recientes

En junio de 2025, DragonForce fue noticia por su presunta implicación en ataques a conocidos minoristas del Reino Unido. Esto marcó una nueva fase en su evolución, con más desarrollos a lo largo del año. Habiendo surgido inicialmente como un grupo de ransomware como servicio (RaaS) en 2023, DragonForce ya había experimentado transformaciones notables antes de esta serie de ataques que aumentaron su notoriedad.

El 2025 ya ha demostrado ser un año aún más agitado para el grupo. Además de estar vinculado a varios ataques, DragonForce anunció su evolución hacia un “cartel” de ransomware y, más recientemente, presentó un nuevo “servicio de análisis de datos” para sus afiliados.

El ransomware Warlock explota vulnerabilidades sin parchear en Microsoft SharePoint para obtener acceso, escalar privilegios, robar credenciales, moverse lateralmente y desplegar ransomware con exfiltración de datos en entornos empresariales.

A principios de junio de 2025, Warlock apareció en el foro ruso RAMP, promocionándose con el lema: “Si quieres un Lamborghini, contáctame.”

En pocos días, el grupo ya había reivindicado al menos 16 ataques, la mitad dirigidos a agencias gubernamentales en Portugal, Croacia y Turquía. También afectó a sectores financieros y de manufactura.

RansomHub es un grupo de ransomware como servicio (RaaS) detectado por primera vez en febrero de 2024 y ha ganado notoriedad rápidamente por su estrategia de caza mayor, al dirigirse a grandes empresas más propensas a pagar rescates sustanciales. RansomHub, rastreado por Trend Micro como Water Bakunawa, ha sido observado explotando vulnerabilidades en copias de seguridad de almacenamiento en la nube e instancias de Amazon S3 mal configuradas, aprovechando la confianza entre proveedores y clientes para mejorar sus tácticas de extorsión.

Rhysida es un grupo de ransomware que salió a la luz a principios de 2023, que emplea tácticas de extorsión doble tanto cifrando los datos de las víctimas como amenazando con publicarlos a menos que se pague un rescate en Bitcoin. Se enmascaran como un equipo de ciberseguridad que ofrece ayuda a sus víctimas destacando las debilidades de seguridad en sus redes y sistemas. Utilizarán ataques de phishing para obtener el acceso inicial y realizarán un seguimiento con balizas Cobalt Strike para el movimiento lateral en las máquinas comprometidas antes de desplegar su ransomware.

Figura 1: El ransomware RansomHub observó una cadena de infecciones

Akira surgió a principios de 2023 y rápidamente se estableció como una de las familias de ransomware más conocidas. Akira utiliza tácticas de extorsión doble, un modelo de entrega de ransomware como servicio (RaaS) y opciones de pago poco convencionales, un enfoque que ha contribuido a su éxito operativo. Akira es conocida por exigir grandes pagos de rescate que pueden oscilar entre 200 000 USD y más de 4 millones de USD.

El ataque de ransomware WannaCry en mayo de 2017 explotó una vulnerabilidad de Microsoft Windows que infectó más de 200.000 sistemas en más de 150 países. El malware cifraba archivos y exigía pagos de rescate en Bitcoin para claves de descifrado. Una de las mayores víctimas del ataque de WannaCry fue el Servicio Nacional de Salud (NHS) del Reino Unido, con hasta 70 000 dispositivos infectados y aproximadamente 19 000 citas médicas o procedimientos cancelados.

Figura 2: Infection diagram

8Base es un grupo de ransomware que se hace pasar por especialistas en pruebas de penetración y ataca principalmente a pequeñas empresas. Emplean una estrategia de doble extorsión, cifrando datos y amenazando con exponer información confidencial a menos que las víctimas paguen un rescate. 8Base adopta una táctica de “nombre y vergüenza” y afirma dirigirse exclusivamente a organizaciones que han descuidado la privacidad de los datos, con el objetivo de dañar la reputación de sus víctimas al exponer información confidencial.

El grupo de ransomware Trigona ha evolucionado rápidamente al lanzar múltiples versiones con distintas capacidades, incluidos argumentos de línea de comandos para el cifrado personalizado. Anunciaron agresivamente cuotas de ingresos altos del 20 % al 50 % para las filiales, lo que indica una operación lucrativa. Sin embargo, sus actividades cesaron abruptamente en octubre de 2023 cuando se desmontó su sitio de fuga, dejando su estado operativo incierto.

Figura 3: Trigona ransomware’s infection chain

LockBit es un destacado grupo de ransomware que opera en un modelo de ransomware como servicio (RaaS). Han lanzado varias versiones, incluidas LockBit 2.0 y 3.0, introduciendo funciones como tácticas de doble extorsión y métodos de cifrado personalizados. En febrero de 2024, la Operación Cronos, un esfuerzo coordinado de aplicación de la ley internacional, interrumpió significativamente las operaciones de LockBit al incautar su infraestructura y detener a los miembros clave. A pesar de estos contratiempos, LockBit sigue siendo una amenaza significativa en el panorama del ransomware.

BlackCat, también conocido como ALPHV o AlphaVM, es un sofisticado grupo de ransomware que opera en un modelo de ransomware como servicio (RaaS) desde finales de 2021. Se han dirigido a varias industrias, incluidos servicios financieros y profesionales, con un número significativo de víctimas en los Estados Unidos. BlackCat utiliza técnicas avanzadas, como el malverting y la explotación de vulnerabilidades como Log4J, para obtener acceso inicial. También son conocidos por su sitio público de filtración de datos, que ejerce presión sobre las víctimas para satisfacer las demandas de rescate.

Ryuk es una variante de ransomware vinculada al grupo de cibercrimen conocido como Wizard Spider. En 2019, Ryuk exigió rescates de hasta 12,5 millones de dólares y fue responsable de algunas de las mayores demandas de rescate ese año, incluidos 5,3 millones y 9,9 millones de dólares. Sus víctimas abarcaron varios sectores, incluidos el gobierno, la atención sanitaria y los medios de comunicación. El grupo también está asociado a otro malware, como TrickBot y Emotet, para facilitar los compromisos iniciales del sistema.

Figura 4: Source: Malwarebytes

Black Basta es un grupo de ransomware que opera como ransomware como servicio (RaaS) y que rápidamente ganó importancia en el panorama del ransomware al dirigirse a una amplia gama de industrias e infraestructuras críticas en todo el mundo. Se ha observado que el grupo explota vulnerabilidades como QakBot, Brute Ratel y Cobalt Strike para infiltrarse en redes y filtrar datos confidenciales.

Royal, un grupo de ransomware activo desde principios de 2022, ha ganado notoriedad rápidamente por sus tácticas agresivas y sus altas demandas de rescate, que oscilan entre 250 000 USD y más de 2 millones de USD. Royal emplea métodos de extorsión doble, cifrando y exfiltrando datos, y ha ampliado sus operaciones para dirigirse a sistemas basados en Linux, incluidos servidores ESXi. Sus víctimas abarcan varios sectores, con una importante concentración en Norteamérica.

Figura 5: Flujo de ataque del ransomware real

Water Ouroboros, que surgió en octubre de 2023, opera como un grupo de ransomware como servicio (RaaS), supuestamente evolucionando desde el ransomware de Hive tras su interrupción por parte del FBI en enero de 2023. Se centran más en el robo de datos que en el cifrado, la explotación de vulnerabilidades, la ejecución de dumping de credenciales y el uso de malware avanzado escrito en idiomas como Rust. Sus principales objetivos incluyen Estados Unidos, Canadá, Reino Unido, Francia, Alemania e Italia. 

Hive es un grupo de ransomware como servicio (RaaS) que surgió en 2021 y se dirigió a diversas industrias a nivel mundial, incluida la atención sanitaria, las finanzas y la fabricación. Emplean tácticas de doble extorsión, cifran los datos y amenazan con divulgar información confidencial a menos que se pague un rescate. En enero de 2023, el FBI interrumpió las operaciones de Hive, pero el grupo continúa operando bajo diferentes alias.