Tres grupos destacados de ransomware Fuerza del dragón , LockBit , y Qilin han anunciado una nueva alianza estratégica contra el ransomware, lo que una vez puso de relieve los continuos cambios en el panorama de las ciberamenazas.
La coalición es vista como un intento por parte de los actores de amenazas con motivaciones financieras de llevar a cabo ataques de ransomware más efectivos, ReliaQuest dijo en un informe compartido con The Hacker News.
«Anunciada poco después del regreso de LockBit, se espera que la colaboración facilite el intercambio de técnicas, recursos e infraestructura, fortaleciendo las capacidades operativas de cada grupo», señaló la compañía en su informe sobre ransomware para el tercer trimestre de 2025.
«Esta alianza podría ayudar a restaurar la reputación de LockBit entre las filiales tras la caída del año pasado, lo que podría provocar un aumento de los ataques a infraestructuras críticas y ampliar la amenaza a sectores que antes se consideraban de bajo riesgo».
La asociación con Qilin no es ninguna sorpresa, dado que se ha convertido en más activo grupo de ransomware en últimos meses , que se cobró un poco más de 200 víctimas solo en el tercer trimestre de 2025.
«En el tercer trimestre de 2025, Qilin atacó de manera desproporcionada a las organizaciones con sede en Norteamérica», dijo ZeroFox dijo en su informe resumido sobre el ransomware del tercer trimestre de 2025. «El ritmo operativo de Qilin comenzó a aumentar significativamente en el cuarto trimestre de 2024, cuando el colectivo llevó a cabo al menos 46 ataques».
El desarrollo coincide con la aparición de LockBit 5.0 , que está equipado para sistemas Windows, Linux y ESXi. La última versión se anunció por primera vez el 3 de septiembre de 2025 en el foro de la darknet de RAMP, con motivo del sexto aniversario del programa de afiliados.
LockBit recibió un duro golpe en principios de 2024 tras una operación policial denominada Cronos que se apoderó de su infraestructura y llevó a la arresto de algunos de sus miembros . En su apogeo, se estima que el grupo atacó a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate.
«Si el grupo logra recuperar la confianza entre sus filiales, podría resurgir como una amenaza de ransomware dominante, impulsada por motivos financieros y por un deseo de venganza contra las medidas represivas de las fuerzas del orden», afirma ReliaQuest.
|
| Incidentes de I+D por semana en el tercer trimestre de 2025 |
El regreso de LockBit y su alianza se produce cuando el actor de amenazas conocido como Scattered Spider parece estar preparándose para lanzar su propio programa de ransomware como servicio (RaaS) llamado Brillante SP1D3R , lo que lo convierte en el primer servicio de este tipo realizado por un equipo de extorsión de habla inglesa.
ReliaQuest dijo que está rastreando un total de 81 sitios de filtración de datos, un aumento significativo con respecto a los 51 reportados a principios de 2024. Las empresas del sector de servicios profesionales, científicos y técnicos representan el mayor número de víctimas durante el período, superando las 375.
La fabricación, la construcción, la salud, las finanzas y los seguros, el comercio minorista, los servicios de alojamiento y alimentación, la educación, las artes y el entretenimiento, la información y el sector inmobiliario son algunos de los otros sectores más afectados.
Otra tendencia destacable es el aumento de los ataques de ransomware dirigidos a países como Egipto, Tailandia y Colombia, lo que indica que los actores de amenazas se están expandiendo más allá de los «puntos críticos tradicionales», como Europa y EE. UU., para evadir el escrutinio de las fuerzas del orden. La gran mayoría de las víctimas que figuran en los sitios de filtración de datos se encuentran en EE. UU., Alemania, el Reino Unido, Canadá e Italia.
Según datos de ZeroFox, hubo un total de al menos 1429 incidentes distintos de ransomware y extorsión digital (R&DE) en el tercer trimestre de 2025, frente a los 1.961 incidentes observados en el primer trimestre de 2025. Se ha descubierto que Qilin, Akira, INC Ransom, Play y SafePay fueron responsables de aproximadamente el 47 por ciento de todos los ataques de I+D mundiales en el segundo y tercer trimestre de 2025.
«Los ataques desproporcionados contra las entidades con sede en América del Norte pueden atribuirse en parte a las motivaciones geopolíticas y las creencias ideológicas de los colectivos de amenazas con motivaciones financieras alimentados por la oposición a las narrativas políticas y sociales 'occidentales'», dijo la empresa.
«Norteamérica alberga una amplia variedad de industrias sólidas que comprenden superficies de ataque digital sustanciales y de rápido crecimiento. La integración generalizada de tecnologías como los servicios de redes en la nube y los dispositivos de Internet de las cosas contribuye a la accesibilidad de los activos de América del Norte».