Principales Grupos de Ransomware en Mayo de 2025
Adrian León 06/09/2025 Ciberseguridad, Ciberataque, TecnetProtect Backup
6 Minutos

Mayo de 2025 fue un mes movido (y no precisamente por buenas noticias). Una nueva ola de ataques cibernéticos golpeó fuerte a empresas de todo tipo: bancos, hospitales, instituciones públicas… nadie se salvó. Y si hay dos nombres que se repiten una y otra vez entre los responsables, son SafePay y DevMan. Hasta hace poco eran casi desconocidos, pero ahora están en boca de todos en el mundo de la ciberseguridad. ¿La razón? Sus ataques son rápidos, bien planeados y cada vez más difíciles de detener. Han subido de nivel, y con ellos, también sube la preocupación de quienes intentan mantener sus redes a salvo.

El mes pasado, SafePay se llevó el puesto número uno entre los grupos de ransomware, dejando claro que ya no es una amenaza menor, sino uno de los actores principales del juego. Ese mes se registraron 384 víctimas en total, marcando el tercer mes consecutivo de descenso en los ataques. Aun así, el panorama sigue movido: desde que RansomHub, el grupo dominante durante más de un año, desapareció a finales de marzo (posiblemente tras un ataque a su infraestructura por parte de su rival DragonForce), el liderazgo entre los cibercriminales está en constante cambio.

 

ransomware ataques

 

Principales Grupos de Ransomware

 

 En mayo, SafePay se llevó el primer lugar con 58 ataques confirmados, superando por poco a Qilin, que había liderado en abril y este mes sumó 54 víctimas. Detrás de ellos quedaron Play, Akira y NightSpire, completando el top 5 de los grupos de ransomware más activos. 
 

disribucion

Una vez más, Estados Unidos fue el blanco favorito de los ataques, con 181 víctimas en mayo. Para que te hagas una idea, eso es más de siete veces lo que tuvo Alemania, que quedó en segundo lugar. (El gráfico de abajo lo muestra clarito).

 

paises mas atacados

 

Los sectores más golpeados en mayo fueron, sin duda, los de servicios profesionales y construcción, que juntos sumaron 101 ataques. Muy por detrás, aunque aún en el radar de los cibercriminales, quedaron la manufactura, el gobierno, la salud, las finanzas, TI, el transporte, los bienes de consumo y la educación, completando así el top 10 de industrias más atacadas. 

 

Conoce más sobre: Las Nuevas Bandas de Ransomware en 2025

 

SafePay y DevMan: Las nuevas amenazas que no dan tregua

 

SafePay está haciendo ruido, y mucho. Desde que apareció por primera vez en el otoño de 2024, ha acumulado ya 198 víctimas. Su récord anterior había sido de 43 ataques en marzo, pero en mayo rompió todos sus propios números y lideró el ranking de grupos de ransomware por primera vez.

¿Cómo lo hacen? Su punto de entrada favorito suelen ser las conexiones VPN y RDP (acceso remoto), muchas veces usando credenciales robadas o técnicas de password spraying (probar muchas contraseñas comunes hasta que alguna funciona). Una vez dentro, aplican lo que se conoce como doble extorsión: primero roban los datos, y después los cifran. Si no pagas, amenazan con publicarlo todo.

A diferencia de otros grupos, SafePay asegura que no funciona bajo el modelo de "ransomware como servicio" (RaaS), es decir, no alquilan sus herramientas a afiliados externos. Esto los hace más cerrados y difíciles de infiltrar.

En cuanto a sus objetivos, Estados Unidos y Alemania están claramente en su mira. De hecho, el número de ataques en Alemania está bastante por encima del promedio. Y aunque SafePay ha atacado todo tipo de industrias, ha mostrado especial interés por los sectores de salud y educación, mientras que el gobierno, las finanzas y el sector tecnológico han sido menos afectados en comparación.

 

safepay

industrias

 

Por otro lado, DevMan ha estado escalando posiciones rápido. Aunque empezó como afiliado de varios grupos de ransomware-as-a-service (RaaS), últimamente se le ha visto actuando por cuenta propia, ampliando su alcance y dejando claro que quiere jugar en las grandes ligas. En mayo sumó 13 víctimas, lo que lo pone muy cerca de los grupos más activos del mes y lo convierte en uno de los nombres a tener en el radar.

Uno de sus ataques más llamativos fue contra un medio de comunicación en Tailandia. Según ellos mismos, lograron cifrar todos los sistemas, incluidos los dispositivos NAS, usando su propio encriptador personalizado que deja una huella muy clara: los archivos terminan con la extensión “.devman1”. Además, aseguran que esta vez usaron una versión mejorada de su malware, capaz de moverse por la red más rápido, gracias a una técnica que aprovecha las políticas de grupo (GPO) de Windows.

En su sitio de filtraciones, publicaron capturas de pantalla que muestran acceso a carpetas compartidas, paneles de administración de servidores, configuraciones de controladores de dominio y directorios cifrados. También dijeron haber robado 170 GB de datos y que están dispuestos a vender todo ese contenido a un solo comprador.

DevMan ha colaborado en el pasado con otros grupos conocidos como Qilin, Apos y DragonForce, y ahora parece haber sumado también una alianza con RansomHub, mostrando que su presencia en el mundo RaaS no solo sigue vigente, sino que está más diversificada que nunca.

 

Fuga de código fuente de VanHelsing: Drama y traición en el mundo del ransomware

 

Mayo también nos dejó un capítulo bastante curioso en el universo del ransomware. Un conocido desarrollador de malware intentó vender el código fuente completo del ransomware VanHelsing en el foro RAMP por nada menos que 10.000 dólares. El paquete incluía de todo: el panel de control, el chat con las víctimas, el servidor de archivos, el blog, la base de datos... ¡hasta las claves de la red TOR!

Pero la historia dio un giro inesperado: el propio grupo VanHelsing salió al paso, publicó todo el código fuente gratis en el mismo foro y acusó al desarrollador de ser un estafador. Y por si fuera poco, anunciaron que ya están trabajando en la versión 2.0 de VanHelsing RaaS, que, según dicen, saldrá “muy pronto”.

¿Y por qué importa esto? Porque cuando el código de un ransomware se filtra, como pasó antes con LockBit y Babuk, empiezan a aparecer copias y variantes por todas partes. Así que es muy probable que veamos clones de VanHelsing pululando por ahí en las próximas semanas.

 

Conoce más sobre: Filtración de Chats Internos de Black Basta Revela su Modus Operandi

 

Nuevos grupos de ransomware que aparecieron en mayo

 

Además de los viejos conocidos, mayo también trajo nuevos jugadores al tablero:

 

  1. Dire Wolf: abrió su propio sitio onion para publicar filtraciones y ya tiene seis víctimas en su lista, la mayoría en Asia, Australia e Italia. Están compartiendo árboles de archivos y muestras de datos para demostrar que van en serio.

  2. DATACARRY: otro grupo nuevo que está apuntando a empresas en Europa. Ya han listado siete víctimas de distintos sectores y países. Aunque todavía no se ha visto que usen un locker (el malware que cifra archivos), ya están filtrando datos y contactando a las víctimas por Session Messenger.

  3. J: un grupo misterioso que ya había dado señales de vida en marzo, y que ahora lanza su propio sitio de filtraciones. En su primera publicación aparecen empresas de Sudamérica, Australia, Europa, EE. UU. y Asia, junto con capturas de archivos comprometidos.

 

Ataques destacados de mayo: ¿Quiénes fueron blanco y cómo?

 

Mayo también dejó una lista bastante larga de ataques con potencial de alto impacto. Algunos están confirmados, otros son reclamaciones aún no verificadas, pero igual llaman la atención por el tipo de víctimas.

Aquí te dejamos algunos de los más llamativos:

 

  1. Reino Unido: fue blanco de una serie de ataques a comercios minoristas a finales de abril y principios de mayo, con posibles vínculos con los grupos Scatter Spider y DragonForce.

  2. Silent: este grupo dijo haber hackeado a una empresa estadounidense de seguridad de redes, robando más de 760 GB de datos. Mostraron capturas de registros internos y configuraciones sensibles, aunque la empresa afectada minimizó la gravedad del incidente.

  3. Qilin: se atribuyó el ataque a un proveedor de ciberseguridad y comunicaciones satelitales de EE. UU. que trabaja con el gobierno y sectores críticos. También dicen haber atacado a un astillero japonés, lo que podría haber comprometido datos relacionados con la Guardia Costera y la Armada.

  4. Termite: afirmó haber robado más de 550 GB de una empresa tecnológica francesa que trabaja en defensa y aeroespacial.

  5. Play: dijo haber comprometido a un proveedor estadounidense de sistemas de alerta temprana y comunicación de emergencia para agencias gubernamentales y militares.

  6. Akira: reivindicó un ataque a una filial energética japonesa y también a una empresa naviera griega especializada en el transporte de petróleo.

  7. Lynx y Qilin: se atribuyeron ataques a empresas de arquitectura en Arabia Saudí y construcción en Singapur, respectivamente.

  8. INC Ransom: dijo haber atacado a una aerolínea sudafricana.

  9. BERT: aseguró haber comprometido a un fabricante taiwanés de equipos de automatización para la industria de semiconductores y componentes electrónicos, aunque la empresa negó que hubiera habido daño real.

  10. Medusa: apuntó a un proveedor tecnológico estadounidense que da servicios de infraestructura, nube y ciberseguridad a gobiernos y empresas.

  11. Arkana: se adjudicó un ataque a una multinacional minera con sede en Reino Unido.

  12. Everest: reclamó haber vulnerado tanto a una aerolínea de Emiratos Árabes Unidos como a una farmacéutica en Arabia Saudita.

 

Conclusión

 

Aunque algunos grupos de ransomware han desaparecido o perdido fuerza, está claro que otros no solo siguen activos, sino que se adaptan y evolucionan rápidamente. La escena del ransomware sigue tan viva como siempre, y por eso es más importante que nunca mantener una buena base de ciberseguridad.

No se trata solo de tener un antivirus o hacer copias de seguridad de vez en cuando. Proteger tu organización requiere constancia y estrategia. Hablamos de prácticas básicas pero efectivas como: priorizar vulnerabilidades según su riesgo real, proteger adecuadamente los activos expuestos a internet, segmentar redes críticas, contar con backups que no puedan ser cifrados por ransomware, aplicar principios de Zero Trust, configurar bien los sistemas, y monitorear todo (desde la red y los endpoints hasta la nube).

Y aquí es donde TecnetOne puede marcar la diferencia. Nuestras soluciones de ciberseguridad ayudan a identificar exposiciones antes de que lo hagan los atacantes, priorizar las correcciones que realmente importan y monitorear señales tempranas de peligro como credenciales filtradas o comportamientos sospechosos. ¿Quieres saber cómo está tu organización frente a estas amenazas?

 

Contáctanos

Tag:

Ciberseguridad Ciberataque TecnetProtect Backup

Hackeo al Club Pachuca: ¿Qué ocurrió?

Artículo Anterior
  • No hay sugerencias porque el campo de búsqueda está vacío.

Categorías

Artículos más leídos

Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
Descubriendo los canales en Telegram de la Dark Web
Alexander Chapellin 02/26/2025 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje, Malware, Ciberataque
10 Principales Grupos y Canales de Telegram en la Dark Web
Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
Guía para Activar y Usar Copilot en Word Eficazmente
Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
Top 5 de Foros Rusos en la Dark Web

Artículos Relacionados

Ciberseguridad, Copias de Seguridad, TecnetProtect Backup
Gustavo Sánchez 06/05/2025

¿Qué es TecnetProtect Backup?

Un archivo importante que desaparece. Un servidor que falla sin aviso. Un ciberataque que cifra

Leer más
Ciberseguridad, Backups, Copias de Seguridad, TecnetProtect Backup
Scarlet Mendoza 06/03/2025

Comparativa entre las Principales Soluciones de Respaldo 2025

¿Te imaginas que mañana pierdas toda la información importante de tu empresa? Clientes, facturas,

Leer más
DRP Backups, Backups, Copias de Seguridad, TecnetProtect Backup
Eduardo Morales 06/03/2025

Recuperación con un Solo Clic: Esencial para la Continuidad Operativa

Tener copias de seguridad es clave, sí. Pero seamos honestos: de poco sirve tener tus datos súper

Leer más
Bottom Banner

Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

Quiero saber más