Check Point Research, la división de Inteligencia de Amenazas Check Point® Software Technologies Ltd., proveedor en soluciones de ciberseguridad en la nube basadas en IA, revela que el ransomware sigue siendo la principal ciberamenaza. RansomHub es el grupo con mayor crecimiento, que opera a través del modelo Ransomware-as-a-Service (RaaS). En septiembre de 2024, RansomHub representaba el 19% de todas las víctimas de ransomware publicadas en “shame sites”. Mientras tanto, Lockbit, ha experimentado un descenso significativo y es responsable de sólo el 5% de las nuevas víctimas.

España también ha registrado un 5% de víctimas por ransomware en septiembre de 2024. El país ha sido un objetivo para el ransomware, especialmente dentro de Europa. A pesar de que RansomHub es más activo en Estados Unidos, es el grupo de ransomware dominante en España y representa el 27% de las víctimas del país.

Estos hallazgos reflejan una transición en el ecosistema del ransomware, con nuevos ciberdelincuentes que adoptan tácticas avanzadas, como la extorsión de datos y el cifrado remoto. El informe también destaca vulnerabilidades críticas en sectores clave, donde el manufacturero y el educativo ha sido los más atacados por grupos de ransomware.

Puntos clave del informe:

• El ascenso de RansomHub: desde su inicio en febrero de 2024, ha ganado terreno rápidamente en el mundo del ransomware gracias a su modelo RaaS. Aunque afirma que evita atacar organizaciones sin ánimo de lucro y hospitales, en septiembre había 10 instituciones sanitarias entre sus víctimas, lo que revela que sus socios operan con cierta autonomía. Además, RansomHub ha innovado con un sistema de cifrado remoto que permite a sus miembros cifrar datos sin ejecutarlo en los equipos de las víctimas, haciéndolo más difícil de detectar. En septiembre, RansomHub concentró el 19% de los ataques de ransomware, principalmente en EE. UU.
• La caída de Lockbit: una vez líder en el mercado, Lockbit ahora representa solo el 5% de los ataques. La publicación de “víctimas recicladas” (de incidentes anteriores o de otros grupos) indica un declive significativo en su actividad tras un golpe policial en febrero de 2024. Este reciclaje busca mantener la confianza de sus afiliados, aunque el grupo haya reducido sus operaciones considerablemente.
• Evolución del ransomware Meow: el grupo ha abandonado el cifrado de datos para enfocarse en el robo y la extorsión de datos, una tendencia en aumento. En lugar de bloquear archivos, roba datos sensibles y exige pagos para evitar su divulgación, o los vende en la Dark Web. Este enfoque le permite monetizar sin exponerse tanto a los sistemas de respaldo que reducen la efectividad del cifrado.
• Impacto sectorial: la industria de manufactura es el sector más atacado debido a sistemas obsoletos y redes interconectadas, lo que aumenta su vulnerabilidad. El sector educativo, con redes extensas y bajo presupuesto en ciberseguridad, es también un blanco frecuente. Aunque algunos grupos afirman no atacar el sector salud, este sigue siendo un objetivo debido a la urgencia de restaurar servicios y la sensibilidad de los datos médicos.

“El rápido crecimiento de RansomHub y sus tácticas avanzadas, como el cifrado remoto, están cambiando el panorama del ransomware. Es importante que las empresas adopten prevención de amenazas proactiva impulsada por IA para mantenerse un paso adelante frente a estas amenazas emergentes”, afirma Mario García, director general de Check Point Software para España y Portugal.