La Oficina Federal de Policía Criminal de Alemania (también conocida como BKA o Bundeskriminalamt) ha desenmascarado la identidad real de los principales actores de amenazas asociados con el ahora desaparecido REvil (también conocido como Sodinokibi) operación de ransomware como servicio (RaaS).

El actor de amenazas, que se hacía llamar DESCONOCIDOactuó como representante del grupo y anunció el ransomware en junio de 2019 en el foro de cibercrimen XSS. Ahora ha sido identificado como Daniil Maksimovich Shchukinciudadano ruso de 31 años. También utilizó los apodos en línea Oneiilk2, Oneillk2, Oneillk22 y GandCrab.

El desarrollo fue reportado por el periodista independiente de seguridad Brian Krebs.

«Desde principios de 2019 como máximo hasta al menos julio de 2021, la persona buscada, en cooperación con otras personas, actuó como líder de uno de los grupos de ransomware más grandes del mundo, conocido como GandCrab/REvil», dijo BKA. «Los perpetradores exigieron grandes pagos de rescate a cambio de descifrar y no filtrar datos».

También se añade a la lista de buscados Anatoly Sergeevitsch Kravchukun ruso de 43 años nacido en la ciudad ucraniana de Makiivka. Se alega que actuó como desarrollador de REvil durante el mismo período de tiempo.

Se sospecha que Shchukin y Kravchuk han llevado a cabo 130 ataques de ransomware en toda Alemania. De ellos, 25 casos dieron lugar al pago de 1,9 millones de euros (2,19 millones de dólares). Los incidentes provocaron en conjunto daños financieros superiores a 35,4 millones de euros (40,8 millones de dólares).

REVOLVER (también conocido como Water Mare y Gold Southfield) fue uno de los prolíficos grupos de ransomware que contó con empresas como JBS y Kaseya entre sus víctimas. Una evolución de la CangrejoGand ransomware, el grupo de delitos electrónicos se desconectó misteriosamente a mediados de julio de 2021, para resurgir dos meses después.

En octubre de 2021, el grupo dejó de operar y su sitio de filtración de datos se volvió inaccesible como parte de una operación policial. Semanas más tarde, las autoridades policiales rumanas anunciaron el arresto de dos personas por su papel como afiliados de la familia de ransomware REvil.

En una medida poco común, el Servicio Federal de Seguridad (FSB) de Rusia reveló en enero de 2022 que había arrestado a varios miembros pertenecientes a la famosa banda de ransomware REvil y neutralizado sus operaciones. Cuatro de esos miembros fueron enviados a varios años de prisión en octubre de 2024, informó la publicación de noticias rusa Kommersant.

UNKN también desaparecido de los foros de cibercrimen coincidiendo con la operación, lo que llevó a otro usuario, REvil (más tarde rebautizado como 0_neday), a convertirse en la cara pública de las operaciones de la pandilla.

en un entrevista Con Dmitry Smilyanets de Recorded Future en marzo de 2021, UNKN dijo que había estado en el negocio del ransomware desde 2007 y que en un momento tenían hasta 60 afiliados trabajando para el grupo.

«Cuando era niño, hurgaba en los montones de basura y fumaba colillas. Caminé 10 kilómetros de ida a la escuela», dijo. «Llevé la misma ropa durante seis meses. En mi juventud, en un apartamento comunal, no comí durante dos o incluso tres días. Ahora soy millonario».

El grupo de ransomware Akira ha comprometido a cientos de víctimas durante el año pasado con un ciclo de vida de ataque bien perfeccionado que ha reducido el tiempo desde el acceso inicial hasta el cifrado de datos en menos de cuatro horas. de acuerdo a empresa de ciberseguridad Halcyon.

Akira ha estado activo desde 2023, acumulando al menos 245 millones de dólares en pagos de rescate de las víctimas hasta septiembre de 2025. El grupo cibercriminal probablemente incluya a ex miembros y afiliados del ahora desaparecido grupo de ransomware Conti, y es conocido por su pulido enfoque de la extorsión digital.

Un ejemplo principal se puede encontrar en la eficiencia del ciclo de infección de Akira, que ha reducido los tiempos de respuesta a incidentes a horas. Según Halcyon, Akira es conocido por utilizar vulnerabilidades de día cero, comprar exploits de intermediarios de acceso inicial y explotar VPN que carecen de autenticación multifactor para infectar a sus víctimas. Akira también utiliza un proceso conocido como «cifrado intermitente», mediante el cual los archivos grandes se pueden cifrar más rápido en bloques más pequeños.

«Akira es más sigiloso y menos agresivo, lo que permite que el ransomware se mueva rápidamente a través de toda la cadena de ataque del ransomware, desde el acceso inicial hasta la exfiltración y el cifrado en tan solo 1 hora sin detección», escribió Halcyon en un blog publicado el jueves. «En la mayoría de los casos, el tiempo desde el acceso inicial hasta el cifrado fue de menos de cuatro horas».

Además, si bien la mayoría de los operadores de ransomware tienden a dedicar “alrededor del 90-95 %” de su tiempo a desarrollar su malware de cifrado y del 5 al 10 % a crear descifradores, Halcyon dijo que Akira ha hecho “grandes esfuerzos para garantizar la recuperación de archivos grandes, como imágenes del servidor”, llegando incluso a guardar automáticamente archivos temporalmente con extensiones .akira personalizadas para garantizar que se puedan recuperar si se interrumpe el proceso de cifrado.

El blog de Halcyon señala que estos esfuerzos probablemente se deban menos a principios éticos que a que el grupo cree que ofrecer descifradores funcionales aumenta las posibilidades de que una empresa pague el rescate. La combinación de Akira de infección rápida y al mismo tiempo ofrece a las empresas una forma más confiable de recuperar sus datos es algo que «lo distingue de muchos operadores de ransomware».

«La capacidad del grupo para pasar del acceso inicial al cifrado completo en menos de una hora, manteniendo al mismo tiempo las garantías de recuperación que incentivan el pago de las víctimas, refleja una empresa criminal madura e impulsada por los negocios», dijo Halcyon.

Se ha observado que el grupo explota vulnerabilidades en los servidores de replicación y respaldo de Veeam, las VPN de Cisco y los dispositivos SonicWall. Al igual que otros grupos de ransomware, Akira utiliza un modelo de doble extorsión contra las víctimas, robando sus datos antes de cifrarlos y luego amenazando con publicar los datos robados en línea si las empresas no pagan.

El año pasado, el FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad señalaron a Akira como uno de los principales grupos criminales de ransomware del mundo, dirigido principalmente a pequeñas y medianas empresas de los sectores de fabricación, educación, TI, atención médica, financiera y agrícola.

Un grupo proucraniano llamado osolyfy se ha atribuido a más de 70 ataques cibernéticos dirigidos a empresas rusas desde que apareció por primera vez en el panorama de amenazas en enero de 2025, y los ataques recientes aprovecharon una cepa de ransomware de Windows personalizada con el nombre en código GenieLocker.

«Bearlyfy (también conocido como Labubu) opera como un grupo de doble propósito destinado a infligir el máximo daño a las empresas rusas; sus ataques sirven al doble objetivo de extorsión para obtener ganancias financieras y actos de sabotaje», dijo el proveedor de seguridad ruso F6. dicho.

F6 documentó por primera vez que el grupo de piratas informáticos aprovechaba cifrados asociados con LockBit 3 (Black) y Babuk en septiembre de 2025, y las primeras intrusiones se centraron en empresas más pequeñas antes de subir la apuesta y exigir rescates por una suma de 80.000 euros (alrededor de 92.100 dólares). En agosto de 2025, el grupo se había cobrado al menos 30 víctimas.

A partir de mayo de 2025, los actores de Bearlyfy también utilizaron una versión modificada de PolyVice, una familia de ransomware atribuida a Vice Society (también conocida como DEV-0832 o Vanilla Tempest), que tiene un historial de entregar casilleros de terceros como Hello Kitty, Zeppelin, RedAlert y Rhysida ransomware en sus ataques.

Un análisis más profundo del conjunto de herramientas y la infraestructura del actor de amenazas revela superposiciones con PhantomCore, otro grupo que se considera que opera teniendo en cuenta los intereses ucranianos. Se sabe que ataca a empresas rusas y bielorrusas desde 2022. Más allá de PhantomCore, también se dice que Bearlyfy ha colaborado con Head Mare.

Los ataques organizados por el grupo obtuvieron acceso inicial mediante la explotación de servicios externos y aplicaciones vulnerables, seguido de la eliminación de herramientas como MeshAgent para facilitar el acceso remoto y permitir el cifrado, destrucción o modificación de datos. Por el contrario, PhantomCore lleva a cabo campañas estilo APT, donde tienen prioridad el reconocimiento, la persistencia y la filtración de datos.

«El grupo en sí se distingue por ataques rápidos caracterizados por una preparación mínima y un rápido cifrado de datos; otra característica distintiva de estos ataques es que las notas de rescate no son generadas por el software ransomware en sí, sino que son elaboradas directamente por los atacantes», señaló F6 el año pasado.

Los ataques de Bearlyfy han demostrado ser una fuente ilícita de generación de ingresos. Según los datos de F6, aproximadamente una de cada cinco víctimas opta por pagar el rescate. Se dice que las demandas iniciales de rescate por parte del adversario aumentaron aún más, alcanzando cientos de miles de dólares.

El cambio más notable en el modus operandi del actor de amenazas es el uso de una familia de ransomware patentada llamada GenieLocker para apuntar a puntos finales de Windows desde principios de marzo de 2026. El esquema de cifrado de GenieLocker está inspirado en las familias de ransomware Venus/Trinity.

Uno de los rasgos más distintivos de los ataques de ransomware es que el casillero genera automáticamente las notas de rescate. En cambio, los actores de amenazas optan por sus propios métodos para compartir los siguientes pasos con las víctimas, ya sea simplemente compartiendo datos de contacto o elaborando mensajes que buscan ejercer presión psicológica y obligarlas a pagar.

«Si bien en sus primeras etapas, los miembros de Bearlyfy demostraron una falta de sofisticación y claramente estaban experimentando con varias técnicas y conjuntos de herramientas, en el lapso de un solo año, este grupo se ha convertido en una verdadera pesadilla para las empresas rusas, incluidas las grandes empresas», dijo F6.

El Departamento de Justicia de EE.UU. (DoJ) dicho Un ciudadano ruso ha sido condenado a dos años de prisión por gestionar una botnet que se utilizaba para lanzar ataques de ransomware contra empresas estadounidenses.

Ilya Angelov, de 40 años, de Tolyatti, Rusia, también recibió una multa de 100.000 dólares. Se dice que Angelov, que utilizaba los alias en línea «milan» y «okart», codirigió un grupo cibercriminal con sede en Rusia conocido como TA551 (también conocido como ATK236, G0127, Gold Cabin, Hive0106, Mario Kart, Monster Libra y Shathak) entre 2017 y 2021.

«El grupo de Angelov construyó una red de computadoras comprometidas (una ‘botnet’) mediante la distribución de archivos infectados con malware adjuntos a correos electrónicos no deseados», dijo el Departamento de Justicia. «Angelov y su codirector monetizaron esta botnet vendiendo acceso a computadoras individuales comprometidas (‘bots’)».

Según el memorando de sentenciael grupo de amenazas desarrolló programas para distribuir correo electrónico no deseado y refinó malware para eludir las herramientas de seguridad. Angelov y su codirector reclutaron miembros y supervisaron las diversas actividades. La principal de sus herramientas era una puerta trasera a través de la cual se podía cargar software malicioso en las computadoras de la víctima.

El objetivo principal de los ataques era revender el acceso a otros grupos criminales, que lo aprovecharon para esquemas de extorsión mediante ransomware. Entre agosto de 2018 y diciembre de 2019, TA551 proporcionó el Grupo de ransomware BitPaymer con acceso a su botnet, lo que permitió a la banda de delitos electrónicos infectar a 72 corporaciones estadounidenses. Esto resultó en más de 14,17 millones de dólares en pagos de extorsión.

Los operadores del malware IcedID también pagaron al grupo de Angelov más de un millón de dólares para obtener acceso a la botnet a finales de 2019 o principios de 2020 y distribuir ransomware, aunque actualmente se desconoce el alcance del daño. Se sospecha que esta asociación floreció después de la disrupción del grupo BitPaymer. La colaboración duró aproximadamente hasta agosto de 2021, según la Oficina Federal de Investigaciones de EE. UU. (FBI).

En noviembre de 2021, Cybereason reveló que los operadores del troyano TrickBot se estaban asociando con TA551 para distribuir Conti Ransomware. Ese mismo mes, el Equipo de Respuesta a Emergencias Informáticas de Francia (CERT-FR) también revelado que la banda de ransomware Lockean estaba utilizando los servicios de distribución ofrecidos por TA551 luego de la eliminación de la botnet Emotet por parte de las fuerzas del orden a principios de 2021.

«Los ciberdelincuentes extranjeros como este acusado apuntan a ciudadanos y corporaciones estadounidenses», dijo el fiscal federal Jerome F. Gorgon Jr. en un comunicado. «Sus métodos se vuelven más sofisticados. Pero su motivo sigue siendo el mismo: estafarnos y dañarnos».

El acontecimiento se produce un día después de que el Departamento de Justicia anunciara que otro ciudadano ruso, Aleksei Olegovich Volkov (también conocido como «chubaka.kor» y «nets»), de 26 años, fue sentenciado a casi 7 años de prisión después de declararse culpable de actuar como intermediario de acceso inicial (IAB) para ataques de ransomware Yanluowang dirigidos a ocho empresas en los EE. UU. entre julio de 2021 y noviembre de 2022.

Un tribunal federal de Indiana condenó a un ciberdelincuente ruso a 81 meses de prisión por cargos relacionados con su papel como intermediario de acceso inicial para grupos de ransomware.

Aleksei Volkov, de 26 años, de San Petersburgo, Rusia, se declaró culpable en noviembre de 2025 de seis cargos federales derivados de su trabajo con el grupo de ransomware Yanluowang y otras organizaciones cibercriminales entre julio de 2021 y noviembre de 2022. Fue arrestado en Roma y posteriormente extraditado a Estados Unidos.

Volkov, también conocido como “chubaka.kor”, operaba como intermediario de acceso inicial, una función especializada en la que identificaba y explotaba vulnerabilidades en redes corporativas y vendía ese acceso a operadores de ransomware. La función se ha vuelto cada vez más común en el ecosistema de ransomware, lo que permite a los delincuentes beneficiarse de los ataques sin implementar malware directamente ni ejecutar demandas de extorsión.

Según documentos judiciales, Volkov facilitó docenas de ataques que resultaron en más de 9 millones de dólares en pérdidas confirmadas para las víctimas y más de 24 millones de dólares en pérdidas previstas. Los fiscales identificaron siete empresas estadounidenses específicas que fueron objeto de ataques durante el período de 16 meses, entre ellas una empresa de ingeniería y un banco. Dos víctimas pagaron un total de 1,5 millones de dólares en pagos de rescate.

El grupo de ransomware Yanluowang empleó tácticas que van más allá del simple cifrado de datos. Las víctimas informaron haber recibido llamadas telefónicas de acoso y haber experimentado ataques distribuidos de denegación de servicio después de que les robaron sus datos, lo que representa una evolución en la forma en que los operadores de ransomware aplican presión a los objetivos.

Volkov recibió una compensación a través de tarifas fijas por proporcionar acceso a la red o porcentajes de los pagos de rescate cobrados a las víctimas. Cuando las víctimas se negaron a pagar, los conspiradores publicaron datos robados en sitios web de filtración diseñados para avergonzar a las empresas y potencialmente alentar a futuras víctimas a cumplir con las demandas.

Su declaración de culpabilidad cubrió cargos presentados en dos jurisdicciones separadas que luego se consolidaron, incluida la transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso, robo de identidad agravado, conspiración para cometer fraude informático y conspiración para cometer lavado de dinero.

Como parte de su sentencia, Volkov debe pagar una restitución total a las víctimas, incluidos al menos 9,1 millones de dólares a empresas identificadas, y confiscar el equipo utilizado en sus actividades delictivas.

Un ciudadano ruso de 26 años ha sido condenado en Estados Unidos a 6,75 años (81 meses) de prisión por su papel en la asistencia a importantes grupos de ciberdelincuencia, incluido el Yanluowang equipo de ransomware, en la realización de numerosos ataques contra empresas estadounidenses y otras organizaciones.

Según el Departamento de Justicia de Estados Unidos (DoJ), Alekséi Olegóvich Vólkov facilitó docenas de ataques de ransomware en todo Estados Unidos, causando más de 9 millones de dólares en pérdidas reales y más de 24 millones de dólares en pérdidas previstas. Volkov fue arrestado el 18 de enero de 2024 en Italia y extraditado a Estados Unidos para enfrentar cargos. Se declaró culpable de los crímenes en noviembre de 2025.

Se dice que Volkov actuó como intermediario de acceso inicial responsable de obtener acceso no autorizado a redes y sistemas informáticos pertenecientes a varias organizaciones y vender ese acceso a otros grupos delictivos, incluidos los actores de ransomware. Esto se logró explotando vulnerabilidades o encontrando formas de acceder a las redes sin autorización.

«Los cómplices de Volkov utilizaron el acceso proporcionado por Volkov para infectar las redes y sistemas informáticos afectados con malware», dijo el Departamento de Justicia. dicho. «Este malware cifró los datos de las víctimas y les impidió acceder a ellos, dañando sus operaciones comerciales».

«Los conspiradores luego exigieron que las víctimas les pagaran un rescate en criptomonedas, a veces de decenas de millones de dólares, a cambio de restaurar el acceso de las víctimas a los datos y prometer no revelar públicamente el hackeo ni liberar los datos robados de las víctimas en un sitio web de ‘filtración’».

Cada vez que una víctima pagaba un rescate, Volkov recibía una parte de las ganancias ilícitas. Fue acusado de transferencia ilegal de un medio de identificación, tráfico de información de acceso, fraude de dispositivos de acceso y robo de identidad agravado, además de dos cargos de fraude informático y conspiración para cometer lavado de dinero.

Como parte de la declaración de culpabilidad, el acusado acordó pagar una restitución total a las víctimas, incluidos al menos $9,167,198 a víctimas conocidas para compensarlas por sus pérdidas reales, además de perder las herramientas utilizadas para llevar a cabo los crímenes.

Estados Unidos acusa a un tercer negociador de ransomware vinculado a los ataques de BlackCat

La revelación se produce cuando los fiscales estadounidenses cargado un tercer individuo actúa como negociador para la banda de ransomware BlackCat (también conocido como ALPHV), ayudando a los actores de amenazas a extorsionar pagos más altos de al menos 10 víctimas. El hombre de 41 años, Angelo Martino (anteriormente identificado sólo como «Co-Conspirador 1»), trabajó como negociador de ransomware para DigitalMint.

Las autoridades han confiscado casi 9,2 millones de dólares en cinco tipos de criptomonedas (Bitcoin, Monero, Ripple, Solana y Stellar) de 21 carteras controladas por Martino, además de incautar vehículos y propiedades de lujo. Se enfrenta a hasta 20 años de prisión. Otros dos socorristas de incidentes, Ryan Clifford Goldberg y Kevin Tyler Martin, se declararon culpables de sus funciones como afiliados de BlackCat en diciembre de 2025.

En una declaración compartida con The Record, DigitalMint dijo que las acciones violaban la política y los estándares éticos de la compañía, y que había despedido tanto a Martino como a Martin después de que su comportamiento saliera a la luz.

«DigitalMint condena el comportamiento criminal de estos individuos, que es una clara violación de nuestros valores, nuestras normas éticas y la ley», afirma. dicho. «Tanto nuestra empresa como nuestra industria existen para apoyar a las organizaciones que sufren los impactos de un ciberataque, y esto va completamente en contra de lo que defendemos».

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ha instado a las agencias gubernamentales a aplicar parches para dos fallas de seguridad que afectan Suite de colaboración Synacor Zimbra (ZCS) y Microsoft Office SharePointafirmando que han sido explotados activamente en la naturaleza.

Las vulnerabilidades en cuestión son las siguientes:

• CVE-2025-66376 (Puntuación CVSS: 7,2): una vulnerabilidad de secuencias de comandos entre sitios almacenadas en la interfaz de usuario clásica de ZCS, donde los atacantes podrían abusar de las directivas @import de hojas de estilo en cascada (CSS) en un mensaje de correo electrónico HTML. (Corregido en las versiones 10.0.18 y 10.1.13 en noviembre 2025)
• CVE-2026-20963 (Puntuación CVSS: 8,8): una vulnerabilidad de deserialización de datos no confiables en Microsoft Office SharePoint que permite a un atacante no autorizado ejecutar código a través de una red. (Fijado en enero 2026)

Actualmente no hay informes públicos que hagan referencia a la explotación de las fallas antes mencionadas, quién puede estar aprovechándolas y la escala de dichos esfuerzos. A la luz de la explotación activa, se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen parches para CVE-2025-66376 antes del 1 de abril de 2026 y para CVE-2026-20963 antes del 23 de marzo de 2026.

La divulgación se produce cuando Amazon reveló que los actores de amenazas asociados con el ransomware Interlock han explotado una falla de seguridad de máxima gravedad que afecta el software de administración de firewall de Cisco (CVE-2026-20131, puntuación CVSS: 10.0) desde el 26 de enero de 2026, más de un mes antes de que se divulgara públicamente.

«Históricamente, Interlock se ha dirigido a sectores específicos donde la interrupción operativa crea la máxima presión para el pago», dijo Amazon. Estos sectores incluyen educación, ingeniería, arquitectura, construcción, manufactura, industria, atención médica y entidades gubernamentales.

El ataque destaca una vez más un patrón persistente de actores de amenazas que apuntan a dispositivos de red perimetrales de diferentes proveedores, incluidos Cisco, Fortinet, Ivanti y otros, para obtener acceso inicial a las redes de destino. El hecho de que CVE-2026-20131 se haya convertido en un arma de día cero muestra que los atacantes están invirtiendo tiempo y recursos para encontrar fallas previamente desconocidas que podrían otorgarles un acceso elevado.

Amazon Threat Intelligence advierte sobre una campaña activa de ransomware Interlock que explota una falla de seguridad crítica recientemente revelada en el software Cisco Secure Firewall Management Center (FMC).

La vulnerabilidad en cuestión es CVE-2026-20131 (puntuación CVSS: 10.0), un caso de deserialización insegura de un flujo de bytes Java proporcionado por el usuario, que podría permitir a un atacante remoto no autenticado eludir la autenticación y ejecutar código Java arbitrario como root en un dispositivo afectado.

Según datos obtenidos del gigante tecnológico loco red mundial de sensoresse dice que la falla de seguridad fue explotada como día cero desde el 26 de enero de 2026, más de un mes antes de que Cisco la revelara públicamente.

«Esto no era simplemente otro exploit de vulnerabilidad; Interlock tenía un día cero en sus manos, lo que les daba una semana de ventaja para comprometer a las organizaciones antes de que los defensores supieran siquiera mirar. Al hacer este descubrimiento, compartimos nuestros hallazgos con Cisco para ayudar a respaldar su investigación y proteger a los clientes», dijo CJ Moses, director de seguridad de la información (CISO) de Amazon Integrated Security, en un informe compartido con The Hacker News.

El descubrimiento, dijo Amazon, fue posible gracias a un error de seguridad operativa por parte del actor de amenazas que expuso el conjunto de herramientas operativas de su grupo de cibercrimen a través de un servidor de infraestructura mal configurado, ofreciendo información sobre su cadena de ataque de múltiples etapas, troyanos de acceso remoto personalizados, scripts de reconocimiento y técnicas de evasión.

La cadena de ataque implica el envío de solicitudes HTTP diseñadas a una ruta específica en el software afectado con el objetivo de ejecutar código Java arbitrario, después de lo cual el sistema comprometido emite una solicitud HTTP PUT a un servidor externo para confirmar la explotación exitosa. Una vez que se completa este paso, los comandos se envían para recuperar un binario ELF de un servidor remoto, que aloja otras herramientas vinculadas a Interlock.

La lista de herramientas identificadas es la siguiente:

• Un script de reconocimiento de PowerShell que se utiliza para la enumeración sistemática del entorno de Windows, que recopila detalles sobre el sistema operativo y el hardware, los servicios en ejecución, el software instalado, la configuración de almacenamiento, el inventario de máquinas virtuales Hyper-V, los listados de archivos de usuario en los directorios de escritorio, documentos y descargas, los artefactos del navegador de Chrome, Edge, Firefox, Internet Explorer y el navegador 360, conexiones de red activas y eventos de autenticación RDP de los registros de eventos de Windows.
• Troyanos de acceso remoto personalizados escritos en JavaScript y Java para comando y control, acceso interactivo al shell, ejecución de comandos arbitrarios, transferencia de archivos bidireccional y capacidad de proxy SOCKS5. También admite mecanismos de autoactualización y autoeliminación para reemplazar o eliminar el artefacto sin tener que reinfectar la máquina y desafiar la investigación forense.
• Un script Bash para configurar servidores Linux como servidores proxy inversos HTTP para ocultar los verdaderos orígenes del atacante. El guión cumple falla2banuna herramienta de prevención de intrusiones de Linux de código abierto, y compila y genera una instancia de HAProxy que escucha en el puerto 80 y reenvía todo el tráfico HTTP entrante a una dirección IP de destino codificada. Además, el script de lavado de infraestructura ejecuta una rutina de borrado de registros como una tarea cron cada cinco minutos para eliminar y purgar agresivamente el contenido de los archivos *.log y suprimir el historial del shell al desarmar la variable HISTFILE.
• Un shell web residente en memoria para inspeccionar solicitudes entrantes en busca de parámetros especialmente diseñados que contengan cargas útiles de comandos cifradas, que luego se descifran y ejecutan.
• Una baliza de red liviana para llamar a la infraestructura controlada por un atacante que probablemente valide la ejecución exitosa del código o confirme la accesibilidad del puerto de la red luego de la explotación inicial.
• ConnectWise ScreenConnect para acceso remoto persistente y para servir como vía alternativa en caso de que se detecten y eliminen otros puntos de apoyo.
• Volatility Framework, un marco forense de memoria de código abierto

Los enlaces a Interlock surgen de indicadores técnicos y operativos «convergentes», incluida la nota de rescate integrada y el portal de negociación TOR. La evidencia muestra que el actor de amenazas probablemente esté operativo durante la zona horaria UTC+3.

A la luz de la explotación activa de la falla, se recomienda a los usuarios que apliquen parches lo antes posible, realicen evaluaciones de seguridad para identificar posibles compromisos, revisen las implementaciones de ScreenConnect en busca de instalaciones no autorizadas e implementen estrategias de defensa en profundidad.

«La verdadera historia aquí no se trata solo de una vulnerabilidad o un grupo de ransomware, sino del desafío fundamental que los exploits de día cero plantean para cada modelo de seguridad», dijo Moses. «Cuando los atacantes explotan las vulnerabilidades antes de que existan los parches, ni siquiera los programas de parcheo más diligentes pueden protegerte en esa ventana crítica».

«Esta es precisamente la razón por la que la defensa en profundidad es esencial: los controles de seguridad en capas brindan protección cuando un solo control falla o aún no se ha implementado. La aplicación rápida de parches sigue siendo fundamental en la gestión de vulnerabilidades, pero la defensa en profundidad ayuda a las organizaciones a no estar indefensas durante el período entre el exploit y el parche».

La divulgación se produce cuando Google reveló que los actores del ransomware están cambiando sus tácticas en respuesta a la disminución de las tasas de pago, apuntando a las vulnerabilidades en VPN y firewalls comunes para el acceso inicial y apoyándose menos en herramientas externas y más en las capacidades integradas de Windows.

También se ha descubierto que múltiples grupos de amenazas, tanto los propios operadores de ransomware como los intermediarios de acceso inicial, emplean tácticas de publicidad maliciosa y/o optimización de motores de búsqueda (SEO) para distribuir cargas útiles de malware para el acceso inicial. Otras técnicas comúnmente observadas incluyen el uso de credenciales comprometidas, puertas traseras o software de escritorio remoto legítimo para establecer un punto de apoyo, así como confiar en herramientas integradas y ya instaladas para reconocimiento, escalada de privilegios y movimiento lateral.

«Si bien anticipamos que el ransomware seguirá siendo una de las amenazas más dominantes a nivel mundial, la reducción de las ganancias puede hacer que algunos actores de amenazas busquen otros métodos de monetización», dijo Google. «Esto podría manifestarse como un aumento de las operaciones de extorsión por robo de datos, el uso de tácticas de extorsión más agresivas o el uso oportunista de acceso a los entornos de las víctimas para mecanismos secundarios de monetización, como el uso de infraestructura comprometida para enviar mensajes de phishing».

La operación ransomware conocida como red de fugas ha adoptado la táctica de ingeniería social ClickFix entregada a través de sitios web comprometidos como método de acceso inicial.

El uso de ClickFix, donde se engaña a los usuarios para que ejecuten manualmente comandos maliciosos para solucionar errores inexistentes, es un alejamiento de la dependencia de métodos tradicionales para obtener acceso inicial, como a través de credenciales robadas adquiridas de agentes de acceso inicial (IAB), ReliaQuest. dicho en un informe técnico publicado hoy.

El segundo aspecto importante de estos ataques es el uso de un cargador de comando y control (C2) por etapas integrado en el tiempo de ejecución de JavaScript de Deno para ejecutar cargas útiles maliciosas directamente en la memoria.

«La conclusión clave aquí es que ambas rutas de entrada conducen siempre a la misma secuencia repetible posterior a la explotación», dijo la empresa de ciberseguridad. «Eso les da a los defensores algo concreto con qué trabajar: comportamientos conocidos que pueden detectar e interrumpir en cada etapa, mucho antes de la implementación del ransomware, independientemente de cómo entró LeakNet».

LeakNet surgió por primera vez en noviembre 2024, describiendo como un «vigilante digital» y enmarcando sus actividades como centradas en la libertad y la transparencia en Internet. Según datos captados por dragosel grupo también tiene dirigido entidades industriales.

El uso de ClickFix para atacar a las víctimas ofrece varias ventajas, la más importante es que reduce la dependencia de terceros proveedores, reduce el costo de adquisición por víctima y elimina el cuello de botella operativo de esperar a que cuentas valiosas lleguen al mercado.

En estos ataques, los sitios legítimos pero comprometidos se utilizan para realizar comprobaciones de verificación CAPTCHA falsas que instruyen a los usuarios a copiar y pegar un comando «msiexec.exe» en el cuadro de diálogo Ejecutar de Windows. Los ataques no se limitan a una industria vertical específica, sino que extienden una amplia red para infectar a tantas víctimas como sea posible.

El desarrollo se produce a medida que más actores de amenazas están adoptando el manual ClickFix, ya que abusa de los flujos de trabajo cotidianos y confiables para atraer a los usuarios a ejecutar comandos maliciosos a través de herramientas legítimas de Windows de una manera que parezca rutinaria y segura.

«La adopción de ClickFix por parte de LeakNet marca tanto la primera expansión documentada de la capacidad de acceso inicial del grupo como un cambio estratégico significativo», dijo ReliaQuest.

«Al alejarse de los IAB, LeakNet elimina una dependencia que naturalmente limitaba la rapidez y amplitud con la que podía operar. Y debido a que ClickFix se entrega a través de sitios web legítimos, pero comprometidos, no presenta las mismas señales obvias en la capa de red que la infraestructura propiedad del atacante».

Además del uso de ClickFix para iniciar la cadena de ataque, se evalúa que LeakNet utiliza un cargador basado en Deno para ejecutar JavaScript codificado en Base64 directamente en la memoria para minimizar la evidencia en el disco y evadir la detección. La carga útil está diseñada para tomar huellas dactilares del sistema comprometido, contactar a un servidor externo para buscar malware de la siguiente etapa y entrar en un ciclo de sondeo que busca y ejecuta repetidamente código adicional a través de Deno.

Por otra parte, ReliaQuest dijo que también observó un intento de intrusión en el que los actores de amenazas utilizaron phishing basado en Microsoft Teams para diseñar socialmente a un usuario para que lanzara una cadena de carga útil que terminaba en un cargador similar basado en Deno. Si bien la actividad permanece sin atribuir, el uso del enfoque Bring Your Own Runtime (BYOR) indica una ampliación de los vectores de acceso iniciales de LeakNet o que otros actores de amenazas han adoptado la técnica.

La actividad posterior al compromiso de LeakNet sigue una metodología consistente: comienza con el uso de carga lateral de DLL para lanzar una DLL maliciosa entregada a través del cargador, seguido del movimiento lateral usando PsExec, exfiltración de datos y cifrado.

«LeakNet ejecuta cmd.exe /c klist, un comando integrado de Windows que muestra las credenciales de autenticación activas en el sistema comprometido. Esto le dice al atacante qué cuentas y servicios ya son accesibles sin la necesidad de solicitar nuevas credenciales, para que puedan moverse más rápido y más deliberadamente», dijo ReliaQuest.

«Para la puesta en escena y la exfiltración, LeakNet utiliza depósitos S3, explotando la apariencia del tráfico normal en la nube para reducir su huella de detección».

El desarrollo se produce cuando Google reveló que Qilin (también conocido como Agenda), Akira (también conocido como RedBike), Cl0p, Play, SafePay, INC Ransom, Lynx, RansomHub, DragonForce (también conocido como FireFlame y FuryStorm) y Sinobi emergieron como las 10 principales marcas de ransomware con más víctimas reclamadas en sus sitios de fuga de datos.

«En un tercio de los incidentes, el vector de acceso inicial fue la explotación confirmada o sospechada de vulnerabilidades, con mayor frecuencia en VPN y firewalls comunes», dijo Google Threat Intelligence Group (GTIG) dichoy agregó que el 77% de las intrusiones de ransomware analizadas incluyeron sospecha de robo de datos, un aumento desde el 57% en 2024.

«A pesar de la agitación actual causada por los conflictos y la interrupción de los actores, los actores del ransomware siguen muy motivados y el ecosistema de extorsión demuestra una resiliencia continua. Varios indicadores sugieren que Sin embargo, la rentabilidad general de estas operaciones está disminuyendo, y al menos algunos actores de amenazas están alejando su cálculo de objetivos de las grandes empresas para centrarse en ataques de mayor volumen contra organizaciones más pequeñas».

El ransomware sigue siendo un flagelo que muestra algunos signos de ceder, pero los equipos de respuesta a incidentes y los cazadores de amenazas están más ocupados que nunca a medida que más atacantes con motivaciones financieras se apoyan exclusivamente en el robo de datos para extorsionar.

Los ataques que solo implican el robo de datos con fines de extorsión pueden no ser más frecuentes que el ransomware tradicional cuando los atacantes cifran los sistemas, pero el impulso se está moviendo en esa dirección, dijo a CyberScoop Genevieve Stark, jefa de inteligencia sobre delitos cibernéticos de Google Threat Intelligence Group.

«Cuando miras a los actores del mundo clandestino de habla inglesa, casi todos ellos se centran en la extorsión por robo de datos en este momento», añadió Stark. Esto incluye grupos como Scattered Spider, ShinyHunters, Clop y otros grupos que han sido responsables de algunos de los ataques más grandes y de mayor alcance en los últimos años.

El informe de investigación de Google Threat Intelligence Group sobre ransomware, que compartió exclusivamente y discutió con CyberScoop antes de su lanzamiento, subraya cómo la evolución y propagación del cibercrimen puede nublar una comprensión colectiva del ransomware, o ataques que utilizan malware para cifrar o bloquear sistemas.

Los ataques de ransomware también suelen incluir el robo de datos como un punto de presión adicional para la extorsión (que ocurrió en el 77% de las intrusiones de ransomware que Google observó el año pasado, frente al 57% en 2024), pero técnicamente no es ransomware a menos que esté involucrado el cifrado.

«En las intrusiones investigadas por Mandiant, observamos una disminución en la implementación de ransomware tradicional coincidiendo con un aumento en la extorsión por robo de datos», dijeron los investigadores en el informe. «Además, algunos programas de ransomware como servicio ofrecen opciones de extorsión y robo de datos únicamente, además del ransomware, lo que puede reflejar la demanda de su base de clientes».

La compañía se negó a decir a cuántos ataques de ransomware respondió en 2025. «Dudamos en compartir la cantidad de casos en los que trabajamos, en términos cuantitativos, porque es muy difícil para todos ponerse de acuerdo sobre lo que constituye un incidente versus dos», dijo Chris Linklater, líder de práctica de Mandiant. «Como anécdota, nos mantenemos muy ocupados».

Stark reconoció que desafíos importantes impiden que la industria desarrolle una imagen clara y completa de la verdadera escala e impacto del ransomware. La información se limita en gran medida a lo que las empresas individuales de respuesta a incidentes ven en sus propios casos, y la información que se comparte generalmente se proporciona caso por caso, más bien de forma centralizada.

«No estamos haciendo un gran trabajo como industria al analizar el volumen. Creo que dependemos demasiado de cosas como el volumen de los sitios de fuga de datos, que tienen muchos problemas», afirmó.

Es probable que el aumento de la extorsión de datos esté impulsando un aumento de estas publicaciones. Al mismo tiempo, algunos grupos de amenazas hacen afirmaciones no creíbles o reciclan infracciones anteriores y las afirman como obra propia. «Los sitios de fuga de datos como medida son en realidad bastante pobres, y creo que como industria hemos confiado demasiado en eso», dijo Stark.

Sin embargo, los datos siguen siendo útiles para evaluar ciertas tendencias, como cambios en los objetivos o un aumento de presuntos ataques a sectores o regiones específicos, dijeron los investigadores.

Por si sirve de algo, Google dijo que la cantidad de publicaciones en sitios de fuga de datos aumentó un 48% respecto al año anterior a 7.784 publicaciones en 2025. Mientras tanto, la cantidad de sitios únicos de fuga de datos aumentó casi un 35% durante el mismo período a 128 sitios con al menos una publicación.

El informe de Google también se centra en las tácticas y los cambios que observó durante su respuesta a los ataques de ransomware el año pasado, incluidas las formas más comunes en que los atacantes irrumpieron en los sistemas, las familias de ransomware más destacadas y un mayor ataque a la infraestructura de virtualización.

Las vulnerabilidades explotadas fueron el principal vector de acceso inicial en los ataques de ransomware el año pasado, representando un tercio de todos los incidentes, seguidas de diversas formas de compromiso web y credenciales robadas. Los atacantes explotaron con mayor frecuencia vulnerabilidades en redes privadas virtuales y firewalls ampliamente utilizados de Fortinet, SonicWall, Palo Alto Networks y Citrix, dijeron los investigadores.

Zach Riddle, analista principal de inteligencia de amenazas en GTIG, dijo que esto no refleja tanto una tendencia creciente como un ciclo recurrente de diferentes vectores de acceso inicial, que aumentan y disminuyen año tras año por diversas razones.

Google mencionó específicamente 13 vulnerabilidades, muchas de ellas reveladas hace años, y clasificó esos defectos entre las vulnerabilidades más explotadas para ataques de ransomware el año pasado. Tres de esas vulnerabilidades afectan a los productos de Fortinet, seguidas de dos de Microsoft, dos de Veritas y una de SonicWall, Citrix, SAP, Palo Alto Networks, CrushFTP y Zoho.

Las credenciales robadas fueron el punto de acceso inicial en el 21% de las intrusiones de ransomware el año pasado, y los atacantes a menudo usaban esas credenciales para autenticarse en la VPN o el protocolo de escritorio remoto de la víctima, dijo Google en el informe.

Los atacantes también enfrentan más desafíos al implementar ransomware una vez que ingresan a las redes de las víctimas. «De hecho, estamos viendo una disminución en la implementación exitosa de ransomware», dijo Bavi Sadayappan, analista senior de inteligencia de amenazas de GTIG. Google observó una disminución año tras año del 54% en 2024 al 36% el año pasado.

Otro cambio histórico que se refleja en la actividad de ransomware en 2025 implica una mayor focalización en la infraestructura de virtualización, como los hipervisores VMware ESXi. Los atacantes se dirigieron a estos entornos en el 43% de las intrusiones de ransomware el año pasado, frente al 29% en 2024.

«Permite que el atacante ataque una gran cantidad de sistemas con un esfuerzo muy pequeño», dijo Linklater, y agregó que «hace que la investigación sea significativamente más difícil de lograr, porque se pierde mucha más evidencia forense cuando se ataca a esos hipervisores».

Las familias de ransomware más destacadas en 2025 incluyeron Agenda, Redbike, Clop, Playcrypt, Safepay, Inc, RansomHub y Fireflame, según Google. Las marcas de ransomware más activas el año pasado incluyeron Qilin, Akira, Clop, Play, Safepay, Inc, Lynx, RansomHub, DragonForce y Sinobi.