RansomHub es el ransomware con mayor crecimiento, que opera a través del modelo Ransomware-as-a-Service (RaaS). En septiembre de 2024, RansomHub representaba el 19% de todas las víctimas de ransomware publicadas en “shame sites”. Mientras tanto, Lockbit, ha experimentado un descenso significativo y es responsable de sólo el 5% de las nuevas víctimas.
España también ha registrado un 5% de víctimas por ransomware en septiembre de 2024. El país ha sido un objetivo para el ransomware, especialmente dentro de Europa. A pesar de que RansomHub es más activo en Estados Unidos, es el grupo de ransomware dominante en España y representa el 27% de las víctimas del país.
Estos hallazgos reflejan una transición en el ecosistema del ransomware, con nuevos ciberdelincuentes que adoptan tácticas avanzadas, como la extorsión de datos y el cifrado remoto. El informe también destaca vulnerabilidades críticas en sectores clave, donde el manufacturero y el educativo ha sido los más atacados por grupos de ransomware.
Índice de temas
Puntos clave del informe
El ascenso de RansomHub
Desde su inicio en febrero de 2024, ha ganado terreno rápidamente en el mundo del ransomware gracias a su modelo RaaS. Aunque afirma que evita atacar organizaciones sin ánimo de lucro y hospitales, en septiembre había 10 instituciones sanitarias entre sus víctimas, lo que revela que sus socios operan con cierta autonomía. Además, RansomHub ha innovado con un sistema de cifrado remoto que permite a sus miembros cifrar datos sin ejecutarlo en los equipos de las víctimas, haciéndolo más difícil de detectar. En septiembre, RansomHub concentró el 19% de los ataques de ransomware, principalmente en EE. UU.
La caída de Lockbit
Una vez líder en el mercado, Lockbit ahora representa solo el 5% de los ataques. La publicación de “víctimas recicladas” (de incidentes anteriores o de otros grupos) indica un declive significativo en su actividad tras un golpe policial en febrero de 2024. Este reciclaje busca mantener la confianza de sus afiliados, aunque el grupo haya reducido sus operaciones considerablemente.
Evolución del ransomware Meow
El grupo ha abandonado el cifrado de datos para enfocarse en el robo y la extorsión de datos, una tendencia en aumento. En lugar de bloquear archivos, roba datos sensibles y exige pagos para evitar su divulgación, o los vende en la Dark Web. Este enfoque le permite monetizar sin exponerse tanto a los sistemas de respaldo que reducen la efectividad del cifrado.
Impacto sectorial
La industria de manufactura es el sector más atacado debido a sistemas obsoletos y redes interconectadas, lo que aumenta su vulnerabilidad. El sector educativo, con redes extensas y bajo presupuesto en ciberseguridad, es también un blanco frecuente. Aunque algunos grupos afirman no atacar el sector salud, este sigue siendo un objetivo debido a la urgencia de restaurar servicios y la sensibilidad de los datos médicos.
