Los investigadores de ciberseguridad han revelado que la infraestructura en línea de Ransomhub se ha desconectado «inexplicablemente» a partir del 1 de abril de 2025, lo que provocó preocupaciones entre los afiliados de la operación de ransomware como servicio (RAAS).
La compañía de seguridad cibernética singapurense del Grupo-IB dijo que esto puede haber hecho que los afiliados migraran a Qilin, dado que «las divulgaciones en su DLS (sitio de fuga de datos) se han duplicado desde febrero».
Se estima que Ransomhub, que surgió por primera vez en febrero de 2024, ha robado datos de más de 200 víctimas. Reemplazó a dos grupos Raas de alto perfil, Lockbit y Blackcat, para convertirse en un favorito, cortejando a sus afiliados, incluidos Spider y Evil Corp dispersos, con divisiones de pagos lucrativos.
«Tras una posible adquisición de la aplicación web y el código fuente de ransomware de Knight (anteriormente Cyclops), Ransomhub se elevó rápidamente en la escena de ransomware, gracias a las características dinámicas de su cifrado multiplataforma y un modelo agresivo y amigable con los que ofrecen incentivos financieros sustanciales, dijo Group-IB en un informe.
El ransomware de RansomHub está diseñado para funcionar en Windows, Linux, FreeBSD y ESXI, así como en arquitecturas X86, X64 y ARM, al tiempo que evita a las empresas atacantes ubicadas en la Comunidad de Estados Independientes (CIS), Cuba, Corea del Norte y China. También puede cifrar sistemas de archivos locales y remotos a través de SMB y SFTP.
El panel de afiliados, que se utiliza para configurar el ransomware a través de una interfaz web, presenta una sección de «miembros» dedicada donde los miembros del grupo de afiliados tienen la opción de crear sus propias cuentas en el dispositivo.
Los afiliados también se les ha proporcionado un módulo «asesino» al menos de junio de 2024 para terminar y evitar el software de seguridad utilizando controladores vulnerables conocidos (BYOVD). Sin embargo, la herramienta se ha suspendido desde entonces debido a altas tasas de detección.
Según Esentire y Trend Micro, los ataques cibernéticos también se han observado aprovechando un malware JavaScript conocido como Socgholish (también conocido como FakeUpdates) a través de sitios comprometidos de WordPress para desplegar una puerta trasera basada en Python conectada a las afiliadas de Ransomhub.
«El 25 de noviembre, los operadores del grupo publicaron una nueva nota en su panel de afiliados anunciando que cualquier ataque contra cualquier institución gubernamental está estrictamente prohibido», dijo la compañía. «Por lo tanto, se invitó a todos los afiliados a abstenerse de tales actos debido al alto riesgo y el ‘retorno de la inversión'».
GuidePoint Security, que también ha observado el tiempo de inactividad de la infraestructura de Ransomhub, dijo que la cadena de eventos ha llevado a un «disturbio de afiliados», con el grupo rival Raas DragonForce reclamando en el foro de rampas que Ransomhub «decidió mudarse a nuestra infraestructura» bajo un nuevo «Cartel de ransmware de Dragonforce».
Vale la pena señalar que se evalúa que otro actor de Raas llamado Blacklock ha comenzado a colaborar con Dragonforce después de que este último desfiguró su sitio de fuga de datos a fines de marzo de 2025.
«Estas discusiones en los foros de RAMP destacan el entorno incierto en el que los afiliados de Ransomhub parecen estar en este momento, aparentemente desconocidos del estado del grupo y su propio estado en medio de una posible ‘adquisición'», dijo Guidepoint Security.
«Queda por ver si esta inestabilidad significará el principio del fin de Ransomhub, aunque no podemos evitar tener en cuenta que el grupo que saltó a la fama prometiendo estabilidad y seguridad para los afiliados ahora puede haber fallado o traicionado a los afiliados en ambos cargos».
Secureworks Counter Amenaza (CTU), que también ha rastreado el cambio de marca de Dragonforce como un «cartel», dijo que el esfuerzo es parte de un nuevo modelo de negocio diseñado para atraer a los afiliados y aumentar las ganancias al permitir que los afiliados creen sus propias «marcas».
Esto es diferente de un esquema RAAS tradicional donde los desarrolladores centrales establecen la infraestructura web oscura y reclutan afiliados de la subterránea del delito cibernético, que luego realizan los ataques después de adquirir acceso a las redes objetivo de un corredor de acceso inicial (IAB) a cambio de el 70% del pago del rescate.
«En este modelo, Dragonforce proporciona su infraestructura y herramientas, pero no requiere que los afiliados implementen su ransomware», dijo la compañía propiedad de Sophos. «Las características anunciadas incluyen paneles de administración y clientes, herramientas de cifrado y negociación de rescate, un sistema de almacenamiento de archivos, un sitio de fuga basado en Tor y un dominio .donión y servicios de soporte».
Otro grupo de ransomware para adoptar tácticas novedosas es ANUBIS, que surgió en febrero de 2025 y utiliza una opción de extorsión de «rescate de datos» para ejercer presión sobre las víctimas al amenazar con publicar un «artículo de investigación» que contiene un análisis de los datos robados y las autoridades regulatorias o de cumplimiento del incidente.
«A medida que el ecosistema de ransomware continúa flexionándose y adaptando, estamos viendo una experimentación más amplia con diferentes modelos operativos», dijo Rafe Pilling, directora de inteligencia de amenazas de Secureworks CTU. «Lockbit había dominado el esquema de afiliados, pero a raíz de la acción de ejecución contra ellos, no es sorprendente ver que se prueben y prueben nuevos esquemas y métodos».
El desarrollo coincide con la aparición de una nueva familia de ransomware llamada Elenor-Corp, una variante del ransomware MIMIC, que se dirige activamente a las organizaciones de atención médica después de cosechar credenciales utilizando un ejecutable de Python capaz de robar contenido de portapapeles.
«La variante Elenor-Corp del ransomware MIMIC exhibe mejoras en comparación con versiones anteriores, que emplea medidas anti-forenses sofisticadas, manipulación de procesos y estrategias de cifrado», dijo el investigador de Morphisec, Michael Gorelik.
«Este análisis destaca la sofisticación en evolución de los ataques de ransomware, enfatizando la necesidad de defensas proactivas, respuesta de incidentes rápidos y estrategias de recuperación sólidas en industrias de alto riesgo como la atención médica».
Algunas de las otras campañas de ransomware notables observadas en los últimos meses son las siguientes.
- Crazyhunterque se ha dirigido a los sectores de salud, educación y industriales taiwaneses y utiliza técnicas BYOVD para eludir las medidas de seguridad a través de una herramienta de código abierto llamada Zammocide
- elíseouna nueva variante de la familia de ransomware fantasma (también conocido como grado) que termina una lista de servicios codificados, deshabilita las copias de seguridad del sistema, elimina las copias de la sombra y modifica la política de estado del arranque para que la recuperación del sistema sea más difícil
- NIEBLAque ha abusado del nombre del Departamento de Eficiencia del Gobierno de los Estados Unidos (DOGE), y las personas conectadas con la iniciativa del gobierno en correo electrónico y ataques de phishing para distribuir archivos zip con malware que entregan el ransomware
- Hellcatque ha explotado las vulnerabilidades de día cero, como las de Atlassian Jira, para obtener acceso inicial
- Cazadores internacionalesque ha cambiado y lanzado una operación de solo extorsión conocida como fugas mundiales al hacer uso de un programa de exfiltración de datos a medida
- Entrelazarque ha aprovechado la infame estrategia de ClickFix para iniciar una cadena de ataque de varias etapas que despliega la carga útil de ransomware, junto con una puerta trasera llamada RAT de bloqueo y robadores como Lumma y Berserkstealer
- Hacerque ha empleado un correo electrónico de phishing disfrazado de alertas de autenticación Screenconnect para violar un proveedor de servicios administrado (MSP) utilizando un kit de phishing AITM y lanzar ataques de ransomware a sus clientes (atribuido a una afiliada llamada STAC4365)
Estas campañas sirven para resaltar la naturaleza en constante evolución del ransomware y demostrar la capacidad de la amenaza de los actores de innovar frente a las interrupciones y fugas de la aplicación de la ley.
De hecho, un nuevo análisis de los 200,000 mensajes internos de chat de Black Basta del Foro de Respuesta a Incidentes y Equipos de Seguridad (primero) ha revelado cómo el grupo de ransomware realiza sus operaciones, centrándose en técnicas avanzadas de ingeniería social y explotando vulnerabilidades de VPN.
«Un miembro conocido como ‘Nur’ tiene la tarea de identificar objetivos clave dentro de las organizaciones que apuntan a atacar», dijo First. «Una vez que ubican a una persona de influencia (como un gerente o personal de recursos humanos), inician el contacto a través de la llamada telefónica».