En 2024, los ataques de ransomware no solo siguieron siendo una amenaza, sino que se dispararon. Se registraron 5.414 incidentes a nivel global, un 11 % más que en 2023. Aunque el año comenzó con relativa calma, el número de ataques se aceleró en la segunda mitad, alcanzando su punto máximo en el cuarto trimestre con 1.827 casos.
Las acciones policiales contra grupos grandes, como LockBit, lograron desmantelar algunas operaciones, pero también tuvieron un efecto inesperado: fragmentaron el ecosistema del ransomware, dando lugar a más competencia y un aumento de bandas más pequeñas. Como resultado, el número de grupos activos creció un 40 %, pasando de 68 en 2023 a 95 en 2024.
Esto significa que hoy más que nunca, cualquiera puede ser víctima. Un clic en un enlace sospechoso, un correo que parece legítimo o una contraseña débil pueden ser suficientes para perder el acceso a tus archivos en cuestión de segundos.
El ransomware no deja de evolucionar, y 2024 fue un año clave en su expansión. Mientras que en 2023 surgieron 27 nuevos grupos, el año pasado esa cifra se disparó a 46. A medida que avanzaban los meses, la actividad de estas bandas aumentó, y para el último trimestre del año ya había 48 grupos operando activamente.
Entre todos ellos, uno logró destacar por encima del resto: RansomHub. Este grupo emergente no solo irrumpió con fuerza en la escena, sino que incluso superó la actividad de LockBit, uno de los nombres más temidos en el mundo del ransomware.
En este artículo, exploraremos a fondo tres de los actores más relevantes que surgieron en 2024: RansomHub, Fog y Lynx. Analizaremos sus orígenes, cómo operan y qué impacto han tenido en la creciente ola de ciberataques.
RansomHub se ha convertido en el grupo de ransomware más activo de 2024, con 531 ataques registrados en su sitio de filtración de datos desde su aparición en febrero. Tras la caída de ALPHV a manos del FBI, muchos lo ven como su "sucesor espiritual", y no sería raro que algunos de sus antiguos afiliados ahora formen parte de esta nueva operación.
Este grupo opera bajo el modelo de Ransomware-as-a-Service (RaaS), lo que significa que trabaja con afiliados que ejecutan los ataques a cambio de una parte del rescate. Sin embargo, RansomHub no deja nada al azar: impone reglas estrictas a sus colaboradores y no duda en expulsarlos si no las cumplen. Su estructura de pagos es bastante llamativa, ofreciendo un generoso 90 % del rescate a los afiliados y quedándose solo con el 10 %, una estrategia que probablemente ha ayudado a su rápido crecimiento.
A pesar de su alcance global, hay ciertas "líneas rojas" que no cruza. Al igual que otros grupos de ransomware con posibles lazos en Rusia, evita atacar objetivos en países de la CEI (antiguos estados soviéticos), Cuba, Corea del Norte y China, además de organizaciones sin fines de lucro. Su historial de ataques y la superposición con otros grupos rusos sugieren que podría formar parte del ecosistema de ciberdelincuencia vinculado a ese país.
Curiosamente, aunque RansomHub es muy activo, su tasa de éxito en los pagos es baja. En agosto de 2024, solo el 11,2 % de las víctimas (20 de 190) accedieron a pagar. Esto indica que su estrategia no se basa en asegurar grandes pagos individuales, sino en lanzar un volumen masivo de ataques para mantener la rentabilidad a largo plazo. En otras palabras, prefieren la cantidad sobre la calidad cuando se trata de extorsión digital.
RansomHub está diseñado para ser rápido y efectivo. Desarrollado en Golang y C++, este malware es capaz de atacar sistemas Windows, Linux y ESXi con una velocidad de cifrado impresionante. Algunas similitudes con el ransomware de GhostSec sugieren que sigue ciertas tendencias dentro del ecosistema del ransomware.
Algo que lo diferencia de otros grupos es su política de descifrado: si un afiliado no entrega la clave después de recibir el pago o ataca a una organización "prohibida", RansomHub garantiza que la víctima obtenga el descifrado de forma gratuita. Además, su enfoque de ataque es claro: primero cifran los archivos y luego extraen los datos, asegurándose de tener suficiente material para extorsionar a las víctimas.
Investigaciones han encontrado posibles vínculos con ALPHV, lo que sugiere que RansomHub podría estar reutilizando herramientas y tácticas de este grupo. Además, hay muchas similitudes con Knight Ransomware, como el uso de cargas útiles en lenguaje Go ofuscadas con GoObfuscate y menús de línea de comandos prácticamente idénticos.
Conoce más sobre: RansomHub Ataca a Empresas Mexicanas: OMA, UNAM y Mabe en Riesgo
Apareció en abril de 2024 y, en poco tiempo, Fog se convirtió en una pesadilla para las instituciones educativas de EE. UU. Su estrategia es clara: aprovechar credenciales VPN robadas para infiltrarse en redes y lanzar ataques de doble extorsión. Si la víctima no paga, sus datos terminan filtrados en un sitio oculto en TOR.
En solo un año, Fog atacó a 87 organizaciones en todo el mundo. Un informe de Arctic Wolf reveló que en noviembre de 2024 llevaron a cabo al menos 30 intrusiones, todas a través de credenciales comprometidas de VPN SonicWall. Lo más interesante es que el 75 % de estos ataques estaban vinculados a Akira, otro grupo de ransomware, lo que sugiere que podrían estar compartiendo infraestructura o colaborando de alguna manera.
Aunque su enfoque principal es la educación, Fog también ha apuntado a empresas de servicios, turismo y manufactura, con especial interés en EE. UU. Sin embargo, lo que realmente lo hace destacar es su agresividad en el sector educativo, un blanco que no suele ser la prioridad de otros grupos de ransomware.
Otro dato alarmante: su velocidad. En algunos casos, han pasado de la infiltración al cifrado en solo dos horas. Siguen un patrón clásico de ataque: primero exploran la red, luego se mueven lateralmente entre sistemas, cifran los archivos y finalmente extraen los datos para presionar aún más a la víctima. Además, han desarrollado versiones tanto para Windows como para Linux, ampliando su alcance y peligrosidad.
Fog es un recordatorio de que el ransomware sigue evolucionando y diversificándose, atacando sectores que antes no eran su prioridad y volviéndose más rápido y eficiente con cada nuevo golpe.
Podría interesarte leer: VPNs de SonicWall Bajo Ataque de Ransomware FOG en Redes Empresariales
Aquí tienes una lista de indicadores de compromiso relacionados con actividades de ransomware Fog. Si administras redes o trabajas en ciberseguridad, revisa estos datos y actúa si detectas alguna coincidencia en tus sistemas.
| Tipo | Valor | Última observación |
|---|---|---|
| Dirección IPv4 | 107.161.50.26 | 28 de noviembre de 2024 |
| SHA-1 | 507b26054319ff31f275ba44ddc9d2b5037bd295 | 28 de noviembre de 2024 |
| SHA-1 | e1fb7d15408988df39a80b8939972f7843f0e785 | 28 de noviembre de 2024 |
| SHA-1 | 83f00af43df650fda2c5b4a04a7b31790a8ad4cf | 28 de noviembre de 2024 |
| SHA-1 | 44a76b9546427627a8d88a650c1bed3f1cc0278c | 28 de noviembre de 2024 |
| SHA-1 | eeafa71946e81d8fe5ebf6be53e83a84dcca50ba | 28 de noviembre de 2024 |
| SHA-1 | 763499b37aacd317e7d2f512872f9ed719aacae1 | 28 de noviembre de 2024 |
| SHA-1 | 3477a173e2c1005a81d042802ab0f22cc12a4d55 | 2 de febrero de 2025 |
| SHA-1 | 90be89524b72f330e49017a11e7b8a257f975e9a | 28 de noviembre de 2024 |
| Nombre de dominio | gfs302n515.userstorage.mega.co.nz | 28 de noviembre de 2024 |
| SHA-256 | e67260804526323484f564eebeb6c99ed021b960b899ff788aed85bb7a9d75c3 | 20 de agosto de 2024 |
Si detectas alguna de estas direcciones o hashes en tu red, es posible que estés ante una amenaza activa. Revisa los registros, refuerza las medidas de seguridad y toma acción de inmediato.
Lynx es una de las bandas de ransomware que más ruido ha estado haciendo últimamente. Su estrategia es la de doble extorsión, lo que significa que no solo cifran los archivos de sus víctimas, sino que también amenazan con publicar la información robada si no pagan el rescate.
Su sitio web está repleto de empresas que han caído en sus ataques, lo que deja claro que han estado bastante ocupados. Sin embargo, dicen tener ciertas "líneas éticas" y aseguran que evitan atacar a gobiernos, hospitales, organizaciones sin fines de lucro y sectores esenciales. Claro, eso es lo que afirman… pero en el mundo del cibercrimen, confiar en la palabra de un grupo de ransomware no es precisamente una buena idea.
Cuando Lynx logra infiltrarse en un sistema, no pierde el tiempo. Cifra los archivos y les añade la extensión “.LYNX”, dejando claro quién está detrás del ataque. Para asegurarse de que la víctima sepa qué ha pasado, también deja una nota de rescate llamada "README.txt" en varios directorios del sistema.
Solo en 2024, este grupo atacó a más de 70 víctimas, lo que deja claro que no se trata de un actor menor en el mundo del ransomware. Su actividad sigue en aumento, y todo indica que su presencia en el panorama del cibercrimen seguirá dando de qué hablar.
El ransomware sigue evolucionando, y grupos como Lynx continúan ampliando su alcance. Aquí tienes algunos indicadores de compromiso (IOC) recientes que pueden ayudarte a identificar actividad sospechosa en tu red:
| Tipo | Valor | Última observación |
|---|---|---|
| MD5 | e488d51793fec752a64b0834defb9d1d | 08 de septiembre de 2024 |
| MD5 | 7e851829ee37bc0cf65a268d1d1baa7a | 17 de febrero de 2025 |
| Nombre de dominio | linceback.pro | 08 de septiembre de 2024 |
| Nombre de dominio | lynxbllrfr5262yvbgtqoyq76s7mpztcqkv6tjjxgpilpma7nyoeohyd.onion | 08 de septiembre de 2024 |
| Nombre de dominio | blogdelinx.net | 08 de septiembre de 2024 |
| Dirección IPv4 | 185.68.93.122 | 08 de septiembre de 2024 |
| Dirección IPv4 | 185.68.93.233 | 08 de septiembre de 2024 |
Conoce más sobre: Ransomware Makop y Lynx Atacan Organizaciones en América Latina
Con los constantes operativos contra los grandes grupos de ransomware, han surgido nuevos actores que buscan consolidarse en el mundo del cibercrimen. Todo apunta a que en 2025, muchos de estos grupos mejorarán sus capacidades y se convertirán en amenazas aún más serias. No solo nombres como RansomHub estarán en el radar, sino que veremos a nuevos jugadores entrar en escena con ataques más sofisticados.
La mejor defensa contra el ransomware es una estrategia de seguridad sólida. Aquí algunas medidas clave que tu empresa debe implementar hoy mismo:
El ransomware sigue evolucionando, y 2025 no será la excepción. Con nuevos grupos en ascenso y ataques cada vez más sofisticados, las empresas deben tomar medidas preventivas ahora. Implementar soluciones como TecnetProtect, reforzar la seguridad de la red y capacitar a los trabajadores puede marcar la diferencia entre ser víctima de un ataque o estar preparado para enfrentarlo. ¿Tu empresa está lista para lo que viene?