El grupo de ransomware emergente RansomHub ha ganado notoriedad por sus ataques sofisticados y su modelo de ransomware como servicio mediante tácticas de doble extorsión y evasión de detección.
El grupo de ransomware LockBit, anteriormente dominante en el cibercrimen, ha perdido su posición de liderazgo tras una serie de operaciones policiales exitosas. En su lugar, RansomHub, un nuevo actor que apareció en febrero de 2024, ha ganado rápidamente terreno, llegando a ser responsable de casi el 20% de todas las víctimas de ransomware en septiembre de 2024 a nivel mundial, según un informe de Check Point. Este cambio en el panorama del ransomware está motivado por los vacíos dejados por los actores que se desmantelan tras operaciones policiales exitosas.
➡️ Te puede interesar: La geopolítica del ransomware: una amenaza global
En septiembre de 2024, se registraron 392 víctimas de ransomware, de las cuales RansomHub reclamó 74, convirtiéndose en el grupo más activo. Le siguieron Play con 43 víctimas, Qilin con 23, Medusa con 21 y LockBit, anteriormente líder, con solo 20 víctimas. Este declive de LockBit, que antes era responsable del 40% de todas las víctimas de ransomware, se atribuye a las recientes acciones de las autoridades a nivel internacional, incluyendo la exposición de su líder por el FBI y el arresto de varios miembros y altos cargos de la organización criminal.
Solo interesado en dólares
RansomHub ha ganado popularidad rápidamente, lo que ha llevado a las autoridades cibernéticas de Estados Unidos a emitir una alerta conjunta en agosto de 2024. Para entonces, el grupo ya había atacado a más de 200 organizaciones. RansomHub opera bajo un modelo de ransomware como servicio, permitiendo a sus afiliados utilizar sus herramientas e infraestructura para llevar a cabo ataques a cambio del 10% de participación a los afiliados. El grupo se centra principalmente en objetivos en Estados Unidos y Canadá, ya que «solo está interesado en dólares» y «no permite que países como Cuba, Corea del Norte, China o Rusia sean atacados», según confirman en su web.
Grandes capacidades de encriptación y extorsión
Una característica distintiva de RansomHub es su capacidad de encriptación remota, lo que permite a sus afiliados explotar dispositivos desprotegidos que están expuestos, reduciendo así el riesgo de detección y aumentando la tasa de éxito de los ataques. El grupo utiliza tácticas de doble extorsión, amenazando con divulgar públicamente los datos encriptados si la víctima rechaza pagar. Entre sus víctimas notables se encuentran fabricantes de ordenadores portátiles, casas de subastas y proveedores de Internet en Estados Unidos.
➡️ Te puede interesar: Masterclass | Ciberinteligencia Criminal: estrategias y métodos para combatir el cibercrimen
El informe de Check Point advierte que el ransomware se ha convertido en un modelo de negocio organizado y escalable, permitiendo incluso a ciberdelincuentes poco cualificados lanzar ataques sofisticados. Las industrias más vulnerables siguen siendo la manufactura industrial, la sanidad y la educación. Para contrarrestar estas amenazas, se recomienda que las empresas adopten soluciones de seguridad e implementen políticas de confianza para prevenir y mitigar los daños de posibles ataques.
¿Qué es un ataque de ransomware?
Un ciberataque de ransomware es un tipo de ataque cibernético en el cual los atacantes utilizan software malicioso para secuestrar los datos de una víctima. Después, bloquean el acceso a ellos mediante cifrado. Una vez que los datos están cifrados, los atacantes demandan un rescate económico, normalmente mediante criptomonedas. A cambio, otorgan la clave de descifrado que permitiría recuperar el acceso a los archivos. Este tipo de ataque puede afectar a individuos, empresas e incluso instituciones gubernamentales. Además, puede causar interrupciones potencialmente desastrosas en las operaciones normales, así como pérdidas financieras considerables.
Te puede interesar ➡️ OSINT en la lucha contra el Ransomware
El proceso típico de un ataque de ransomware comienza con la infiltración del software malicioso en el sistema de la víctima. Esto puede ocurrir a través de correos electrónicos de phishing, sitios web comprometidos, o vulnerabilidades en el software. Una vez dentro, el ransomware se propaga por el sistema, cifrando archivos críticos y, en algunos casos, también afectando a las copias de seguridad para hacer más difícil la recuperación sin pagar el rescate. Los atacantes suelen establecer un límite de tiempo para el pago, incrementando la presión sobre la víctima. Si la víctima paga el rescate, no hay garantía de que los atacantes proporcionen la clave de descifrado o que no hayan dejado otras puertas traseras para futuros ataques.
➡️ Si quieres adquirir conocimientos sobre ciberseguridad, te recomendamos los siguientes cursos formativos:
- Curso de Técnicas y Herramientas Avanzadas de Ciberinvestigación OSINT
- Curso de Director de Ciberseguridad
- Curso-Certificado de Experto en Ciberinteligencia
- Curso de Experto en OSINT: Técnicas de Investigación Online
Artículo escrito por:
Rubén Asenjo Morillas. Periodista apasionado por la actualidad internacional y la geopolítica. Escribo para entender el mundo en constante cambio y compartir perspectivas que despierten la reflexión y el debate. Comprometido con la búsqueda de la verdad y las historias que impacten e inspiren.