Qilin volvió a liderar el ranking de grupos de ransomware en junio, marcando la segunda vez en solo tres meses que se coloca en lo más alto. Todo apunta a que está sacando provecho del caos que dejó fuera de juego a RansomHub desde principios de abril.
RansomHub había sido el grupo más activo durante más de un año, hasta que DragonForce (su principal rival) afirmó haber tomado el control de su infraestructura, en lo que muchos ven como un posible sabotaje. En medio de ese desorden, Qilin aprovechó la oportunidad y se quedó con el primer lugar en abril. Aunque en mayo SafePay le arrebató brevemente el liderazgo, Qilin regresó con fuerza en junio y dominó por completo.
Aunque los números de junio aún podrían subir a medida que se actualizan más reportes, lo cierto es que Qilin ya lleva 86 víctimas confirmadas este mes. Eso lo coloca más de 50 casos por delante de sus competidores más cercanos, dejando claro quién está marcando el paso en el mundo del ransomware ahora mismo.
Top 5 de grupos de ransomware más activos (Fuente: Cyble)
En general, los datos preliminares indican que los grupos de ransomware sumaron unas 377 víctimas hasta finales de junio. Esta cifra está bastante cerca del total de mayo, que cerró con 401 casos (como se ve en el gráfico de abajo). Después de tres meses seguidos de caída desde el pico récord de febrero, esto podría ser una señal de que la actividad empieza a estabilizarse un poco.
Podría interesarte leer: Ransomware en Mayo de 2025: SafePay y DevMan Principales Amenazas
Aunque su nombre proviene de una criatura mítica china, todo apunta a que Qilin tiene raíces rusas. Esto se deduce tanto por el idioma que usan en sus comunicaciones como por el hecho de que evitan atacar países de la Comunidad de Estados Independientes (CEI), una práctica común entre grupos con vínculos en esa región.
Qilin opera como un negocio muy bien montado bajo el modelo de Ransomware-as-a-Service (RaaS), y recientemente se ha visto que incluso ofrecen a sus afiliados cosas como asesoría legal y otros “beneficios”, como si fueran una especie de empresa ilegal con soporte al cliente incluido.
Durante junio, el grupo fue detrás de objetivos de alto valor en sectores clave como telecomunicaciones, blockchain, salud y transporte. Uno de sus ataques más sonados fue contra una empresa estadounidense que ofrece soluciones de redes móviles para clientes gubernamentales, comerciales y del ámbito militar. Según los datos filtrados, parece que Qilin logró acceder a documentos delicados de las instalaciones, planos técnicos y hasta contratos confidenciales.
También se atribuyeron un ataque contra una firma tecnológica de EE. UU. especializada en blockchain, lo que no solo afectaría a la empresa en sí, sino también a toda su cadena de suministro, incluyendo a socios y clientes que dependen de su infraestructura y marcos legales innovadores.
Otro objetivo importante en junio fue una gran empresa de logística y transporte de carga, también con sede en EE. UU. Qilin parece tener claro su enfoque, ya que, al igual que otros grupos de ransomware importantes, concentra la mayoría de sus ataques en Estados Unidos. De hecho, en junio se adjudicaron 50 de los 213 ataques registrados en ese país.
Curiosamente, a diferencia de otros grupos de ransomware que suelen enfocarse casi siempre en sectores como construcción, servicios profesionales, salud o manufactura, Qilin ha mostrado un enfoque más equilibrado. Sus ataques en junio estuvieron más repartidos entre distintos sectores, y de hecho, apuntaron a un porcentaje mayor de objetivos del sector financiero en comparación con otros grupos.
Todavía está por verse si Qilin logrará mantenerse en la cima tanto tiempo como lo hizo RansomHub, pero lo cierto es que su estrategia de atraer afiliados con tecnología avanzada y servicios bien montados está funcionando (y bastante bien) por ahora.
Podría interesarte leer: Ingram Micro Sufre un Ciberataque Causado por Ransomware SafePay
Aunque Qilin dominó el mes, sus competidores no se quedaron de brazos cruzados. Junio trajo varios movimientos interesantes en el mundo del ransomware, con nuevos grupos apareciendo y programas de afiliados entrando en escena.
Un ejemplo llamativo fue el grupo hacktivista prorruso CyberVolk, que el 26 de junio anunció su propia carga útil de ransomware para futuros ataques. Solo dos días después, ya se detectó una muestra activa en circulación. Este ransomware cifra archivos usando la extensión “.CyberVolk” y deja una nota de rescate con el nombre "READMENOW.txt". Todo apunta a que los hacktivistas están cruzando aún más esa delgada línea entre el activismo digital y el cibercrimen.
Otro actor, conocido como RALord, empezó a buscar afiliados en foros como DarkForums para lanzar su plataforma de ransomware como servicio, llamada Nova. En su publicación, detallaron todo un paquete “profesional”: un chat interno para negociaciones, panel de control para los afiliados, estadísticas detalladas, sistema de tickets, lockers personalizados para distintos sistemas operativos, y hasta una guía completa.
Ofrecían acceso de por vida por 300 dólares, con descuentos para los primeros en subirse al barco. RALord, que apareció por primera vez en marzo de 2025, cambió su nombre a Nova a fines de abril. Su sistema ofrece un 85% de las ganancias a los afiliados, lockers a 200 euros por operación y cobra el 10% en caso de venta de herramientas de descifrado. El malware está programado en Rust, diseñado especialmente para atacar máquinas Windows, y añade la extensión .RALord a los archivos cifrados.
También se detectó un nuevo grupo ofreciendo su plataforma RaaS bajo el nombre de Chaos. Se anunciaron en el foro RAMP, destacando que su ransomware es rápido, personalizable y compatible con múltiples sistemas (Windows, Linux, NAS, ESXi, etc.).
Entre las funciones que promocionan están: cifrado por clave individual, configuración de rutas específicas, velocidad de hasta 1 TB en 10 minutos, y la posibilidad de actuar de forma silenciosa sin dejar rastros. Su panel de control promete herramientas impulsadas por IA, estadísticas detalladas de víctimas, chat integrado y soporte mediante tickets. El precio de entrada no es menor: 10.000 dólares de depósito, que devuelven si el afiliado logra su primer “pago exitoso”. Y, al igual que otros grupos, aseguran evitar atacar a gobiernos o países como los BRICS o los de la CEI.
Un grupo nuevo llamado Kawa4096 también apareció en el radar. Investigaciones de código abierto (OSINT) revelaron que ya tienen un sitio de filtraciones activo en la red Tor y están operando con normalidad. Su ransomware utiliza extensiones aleatorias en los archivos cifrados y deja una nota de rescate con instrucciones para contactar vía Tox o visitar su sitio en la dark web.
Hasta ahora, el sitio muestra cinco víctimas, aunque los nombres de cuatro de ellas están ocultos. Curiosamente, el diseño del sitio es casi idéntico al del grupo Akira, lo que podría indicar inspiración… o una conexión más directa.
Por otro lado, hay indicios de que Scatter Spider estaría detrás de varios ataques recientes contra aseguradoras en EE. UU. El FBI incluso ha alertado que aerolíneas podrían estar en la mira de este grupo. Todo indica que han dejado atrás el sector minorista y están yendo tras blancos más grandes.
Conoce más sobre: ¿Cómo proteger tu empresa de ataques de ransomware con TecnetProtect?
Lo que nos dejan claro todos estos movimientos es que los grupos de ransomware siguen evolucionando, probando nuevas tácticas, y ofreciendo “servicios” cada vez más sofisticados a sus afiliados. Es un juego de gato y ratón constante, donde los defensores no se pueden permitir bajar la guardia.
Para enfrentar estas amenazas, las organizaciones necesitan mucho más que un buen antivirus. Aquí van algunas buenas prácticas que pueden marcar la diferencia:
Segmenta tus activos críticos: No pongas todos los huevos en una sola canasta.
Adopta el modelo de confianza cero (Zero Trust): Nadie entra sin ser verificado.
Haz copias de seguridad inmutables: Que ni el ransomware pueda tocarlas.
Refuerza endpoints e infraestructura: Asegura desde los equipos hasta la nube.
Gestiona vulnerabilidades de forma proactiva: Prioriza riesgos, no solo parches.
Monitorea en tiempo real: Endpoints, red y entornos en la nube incluidos.
Ten un plan de respuesta a incidentes: Y ensáyalo. No sirve de nada si solo está en papel.
TecnetProtect, nuestra solución avanzada de ciberseguridad, utiliza la potente tecnología de Acronis para ofrecer una defensa completa y proactiva contra el ransomware. Protege los sistemas críticos mediante un enfoque de múltiples capas que incluye detección de comportamiento malicioso en tiempo real, bloqueo automático de procesos sospechosos, y copias de seguridad inmutables que garantizan la recuperación segura de los datos en caso de un ataque.
Además, TecnetProtect supervisa constantemente la integridad de los archivos, impide la modificación no autorizada de información sensible y permite una restauración rápida de sistemas afectados, minimizando el tiempo de inactividad. Todo esto con una consola centralizada y fácil de usar, ideal para organizaciones que buscan protegerse de manera efectiva ante las amenazas más sofisticadas.