Llega a la oficina, enciende su sistema y se establece en pánico. Cada archivo está bloqueado y cada sistema está congelado. Una demanda de rescate parpadea en su pantalla: «Pague $ 2 millones en Bitcoin dentro de las 48 horas o lo pierda todo».
Y la peor parte es que incluso después de pagar, no hay garantía de recuperar sus datos. Muchas víctimas entregan el dinero, solo para recibir nada a cambio, o peor, son golpeados nuevamente.
Este no es un caso raro. Los ataques de ransomware son negocios paralizantes en todo el mundo, desde hospitales y bancos hasta pequeñas empresas. La única forma de detener el daño es analizar proactivamente archivos y enlaces sospechosos antes de que puedan ser ejecutados.
A continuación, desglosamos las tres familias de ransomware principales activas en 2025: Lockbit, Lynx y Virlock, y descubrimos cómo el análisis interactivo ayuda a las empresas a detectarlas y detenerlas antes de que sea demasiado tarde.
Lockbit: burlando un regreso en 2025
Lockbit es uno de los grupos de ransomware más notorios, conocidos por su cifrado altamente eficiente, tácticas de doble extorsión y capacidad para evadir las medidas de seguridad tradicionales. Operando bajo un modelo de ransomware como servicio (RAAS), permite a los afiliados distribuir el malware, lo que lleva a ataques generalizados en varias industrias.
Últimos ataques y actividad:
- Drogas de Londres (mayo de 2024): Lockbit apuntó al minorista canadiense London Drugs, que obligó al cierre de todas sus ubicaciones en todo Canadá. Los piratas informáticos exigieron $ 25 millones, filtrando algunos datos de los empleados después de que la compañía se negó a pagar.
- University Hospital Center, Zagreb (junio de 2024): Interrumpió el hospital más grande de Croacia, obligando al personal a volver a las operaciones manuales, mientras que los atacantes afirmaron haber exfiltrado los registros médicos.
- Evolve Bank & Trust (junio de 2024): Violaron datos financieros confidenciales, con piratas informáticos que afirman falsamente tener información de la Reserva Federal. El ataque expresó preocupaciones debido a los lazos de Evolve con las principales empresas fintech.
Muestra de Lockbit:
Echemos un vistazo más de cerca a una muestra de ransomware Lockbit dentro de cualquiera.
Ver sesión de análisis
 |
| Los iconos de archivo cambiados dentro de cualquiera. |
Dentro de la caja de arena interactiva, notamos lo primero que se destaca: los iconos del archivo que cambian al logotipo de Lockbit. Este es un signo inmediato de infección por ransomware.
Descubra las tácticas de ransomware en tiempo real y evite infracciones costosas antes de que ocurran.
Pruebe cualquiera. Run gratis durante 14 días
Esto es seguido por una nota de rescate dentro del sandbox, indicando que sus archivos han sido robados y encriptados. El mensaje es claro: pagar el rescate, o los datos se publicarán en un sitio web de TOR.
 |
| Nota de rescate que se muestra dentro de un entorno seguro |
En el lado derecho de la pantalla, vemos un desglose detallado de cada proceso que Lockbit se ejecuta para atacar el sistema.
 |
| Process Tree demuestra los comportamientos de Lockbit |
Al hacer clic en cualquier proceso, los equipos de seguridad pueden analizar las tácticas exactas utilizadas en el ataque.
 |
| Desglose detallado de procesos dentro de Sandbox interactivo |
Este tipo de análisis es importante para las empresas, ya que les permite comprender cómo se extiende el ransomware, identificar puntos débiles en su seguridad y tomar medidas proactivas para bloquear amenazas similares antes de causar daños financieros y operativos.
Para un desglose más profundo de las tácticas de ataque, también puede hacer clic en el botón ATT y CK en la esquina superior derecha del sandbox. Esto proporciona información detallada sobre cada táctica, ayudando a los equipos a ajustar sus defensas y fortalecer las estrategias de respuesta.
 |
| Tácticas y técnicas de Mitre ATT & CK detectadas por cualquiera. |
En este caso, vemos a Lockbit usando varias técnicas peligrosas:
- Obtener mayores privilegios al pasar por alto los controles de seguridad.
- Extracción de credenciales almacenadas de archivos y navegadores web.
- Escaneo del sistema para recopilar información antes de cifrar archivos.
- Cifrar datos para bloquear las operaciones comerciales críticas.
Nueva advertencia de ataque en 2025:
A pesar de las acciones de aplicación de la ley, Lockbit continúa representando una amenaza significativa para 2025. El supuesto líder del grupo, conocido como Lockbitsupp, advirtió sobre los nuevos ataques de ransomware que se lanzan este febrero. Esto significa que las empresas no pueden permitirse bajar la guardia.
Lynx: La creciente amenaza para las pequeñas y medianas empresas
Lynx es un grupo de ransomware relativamente nuevo que surgió a mediados de 2024 y rápidamente creó una reputación por su enfoque altamente agresivo. A diferencia de las pandillas de ransomware más grandes que se centran en los gigantes corporativos, Lynx deliberadamente persigue pequeñas y medianas empresas en América del Norte y Europa, aprovechando las medidas de seguridad más débiles.
Su estrategia se basa en la doble extorsión. No solo encriptan archivos, sino que también amenazan con filtrar datos robados tanto en sitios web públicos como en foros web oscuros si las víctimas se niegan a pagar. Esto obliga a las empresas a una opción imposible: pagar el rescate o el riesgo de tener datos confidenciales, detalles financieros y registros de clientes expuestos en línea.
Último ataque de Lynx:
A mediados de enero de 2025, Lynx se dirigió a los ingenieros Lowe, una firma prominente de ingeniería civil con sede en Atlanta, Georgia. El ataque condujo a la exfiltración de datos confidenciales, incluida la información confidencial del proyecto y los detalles del cliente. Dada la participación de la empresa en proyectos de infraestructura crítica, esta violación planteó preocupaciones significativas sobre los posibles impactos en los contratos federales y municipales.
Muestra de lince:
Gracias a Any.
Ver análisis de Sandbox de Lynx
En el momento en que cargamos y iniciamos el archivo ejecutable malicioso en el sandbox basado en la nube de Any.
 |
| La pestaña de modificación de archivos proporciona los cambios de la actividad del sistema de archivos |
Poco después, aparece una nota de rescate, y el fondo de pantalla de escritorio se reemplaza con un mensaje de extorsión que dirige a las víctimas a un sitio de Tor, donde los atacantes exigen el pago.
 |
| Ransomware de lince cambiando el fondo de pantalla dentro de cualquiera. |
Dentro de la caja de arena.
 |
| La nota del rescate incluye enlaces .donion que dirigen a las víctimas al portal de comunicación de los atacantes |
En la sección Mitre ATT & CK, obtenemos un desglose claro de las tácticas y técnicas de Lynx, revelando cómo funciona:
 |
| Tácticas y técnicas de Mitre ATT & CK utilizadas por Lynx Ransomware |
- Cifrar archivos para bloquear los datos comerciales críticos.
- Renombra los archivos para imitar otras cepas de ransomware.
- Consulta el registro para escanear los detalles del sistema y el software de seguridad.
- Lectura de información de CPU para evaluar el entorno objetivo.
- Verificación de políticas de software para determinar la configuración de seguridad antes de continuar.
Virlock: un ransomware autorreplicante que no morirá
Virlock es una cepa de ransomware única que surgió por primera vez en 2014. A diferencia del ransomware típico, Virlock no solo cifra los archivos sino que también los infecta, convirtiendo cada uno en un infector de archivos polimórficos. Esta capacidad dual le permite extenderse rápidamente, especialmente a través de plataformas de almacenamiento y colaboración en la nube.
Ataques recientes:
En análisis recientes, se ha observado que Virlock se extiende sigilosamente a través de aplicaciones de almacenamiento y colaboración en la nube. Cuando el sistema de un usuario está infectado, Virlock encripta e infecta archivos, que luego se sincronizan con entornos en la nube compartidos.
Los colaboradores que acceden a estos archivos compartidos ejecutan inadvertidamente los archivos infectados, lo que lleva a un mayor distribución dentro de la organización.
Muestra de Virlock:
Analicemos el comportamiento de Virlock utilizando una muestra en tiempo real dentro de cualquiera.
Ver análisis de sandbox de Virlock
 |
| Ransomware Virlock dentro de VM |
Al igual que Lockbit y Lynx, Virlock deja caer una nota de rescate tras la ejecución. Sin embargo, esta vez, exige el pago en Bitcoin, una táctica común entre los operadores de ransomware.
En esta muestra específica, Virlock solicita el equivalente de $ 250 en Bitcoin, amenazando con eliminar los archivos permanentemente si no se paga el rescate.
Curiosamente, la nota de rescate no solo exige el pago. También incluye una guía sobre Bitcoin, explicando qué es y cómo las víctimas pueden adquirirla para el pago.
 |
| Nota de rescate que exige bitcoin dejado por Virlock |
Durante la ejecución, cualquiera. Run detecta varias actividades maliciosas, revelando cómo funciona Virlock:
 |
| Comportamiento de ransomware Virlock analizado por Interactive Sandbox |
- Se identifica un mutex específico de Virlock, que ayuda al malware a garantizar que solo una instancia se ejecute a la vez para evitar interferencias.
- Virlock ejecuta comandos a través de archivos de lotes (.bat), iniciando cmd.exe para realizar acciones maliciosas.
- El ransomware modifica el registro de Windows utilizando Reg/Regedit.exe, que es probable que establezca persistencia o deshabilite las características de seguridad.
Cada sesión de sandbox en cualquiera. Run genera automáticamente un informe detallado que se puede compartir fácilmente dentro de una empresa. Estos informes están formateados para un análisis posterior, ayudando a los equipos de seguridad a colaborar y desarrollar estrategias efectivas para combatir las amenazas de ransomware en 2025.
 |
| Informe generado por cualquiera. Run Sandbox |
Ransomware en 2025: una amenaza creciente que puede detener
El ransomware es más agresivo que nunca, interrumpiendo las empresas, robando datos y exigiendo millones en rescate. El costo de un ataque incluye operaciones perdidas, reputación dañada y confianza robada de clientes.
Puede detener el ransomware antes de que te bloquee. Al analizar archivos sospechosos en cualquier caja de arena interactiva de Any.
Pruebe cualquiera.