LockBit se debilita, RansomHub avanza: quién liderará el negocio de la extorsión en 2025

Los analistas de Cybernews, utilizando la herramienta Ransomlooker, identificaron tendencias alarmantes en el ámbito del cibercrimen en 2024. A pesar de los esfuerzos de las fuerzas del orden, el número de ataques con programas de ransomware sigue aumentando. Según Ransomlooker, el número de víctimas registradas de estos ataques alcanzó las 5300, lo que representa un aumento del 26% en comparación con el año anterior.

El líder entre los grupos criminales volvió a ser LockBit, a pesar del golpe asestado por la operación Cronos . Sin embargo, su posición se ha debilitado: el número de empresas afectadas se redujo en un 50%, lo que hace que la caída sea aún más notable en un contexto de crecimiento general de los ataques.

Es probable que el próximo año LockBit pierda el liderazgo, y el principal candidato a ocupar su lugar sea RansomHub, un grupo emergente en 2024 que ha crecido rápidamente. Ha atacado a unas 500 organizaciones, demostrando un alto nivel de adaptabilidad.

En tercer lugar, por segundo año consecutivo, se mantiene Play, que se ha centrado en ataques a los sectores de manufactura, bienes raíces y tecnología. Mientras tanto, LockBit ha atacado con mayor frecuencia a empresas industriales, tecnológicas y minoristas, mientras que RansomHub se ha enfocado en la construcción, manufactura y comercio.

Un problema grave ha sido el aumento en el número de grupos activos. En 2024, su cantidad creció hasta 89, en comparación con 67 el año anterior. De estos, 43 son grupos recién creados o rebrandeados, lo que confirma la dinámica y descentralización del ecosistema criminal. Nuevos grupos como KillSec y Funksec han logrado causar daños a 136 y 91 empresas respectivamente, lo que demuestra el bajo umbral de entrada en este negocio criminal.

El análisis de Ransomlooker también identificó patrones estacionales en la actividad de los hackers. Los periodos de mayor actividad fueron la primavera y el otoño, cuando se registraron hasta 1600 ataques al mes, mientras que en verano el número de ataques disminuyó notablemente. Esto podría estar relacionado con el hecho de que algunos ciberdelincuentes operan en regiones donde el verano se considera tradicionalmente una temporada de vacaciones.

Los sectores más vulnerables a los ataques no han cambiado. El primer lugar en número de ataques lo ocupan las empresas industriales, con más de 300 compañías afectadas, lo que se explica por su vulnerabilidad ante interrupciones en la producción. En segundo lugar, se encuentra el sector tecnológico, con 150 empresas atacadas, debido a su dependencia de procesos operativos continuos. El sector inmobiliario cierra el podio, donde el valor de los datos y la interconectividad de los sistemas hacen que las empresas sean objetivos atractivos para los atacantes.

Entre las organizaciones más afectadas en 2024 se encuentran gigantes como Volkswagen Group ($356 mil millones en ingresos), la petrolera Oman Oil ($40 mil millones) y la corporación cárnica Marfrig ($27 mil millones). La suma total de posibles rescates exigidos solo a las diez mayores víctimas podría haber alcanzado los $5.2 mil millones.

Además del sector empresarial, también fueron atacadas entidades gubernamentales, como lo demuestra el exitoso ataque contra la administración del Distrito de Columbia. Las vulneraciones de estos sistemas son especialmente peligrosas, ya que gestionan datos críticos y servicios públicos esenciales.

La geografía de los ataques sigue siendo la misma: Estados Unidos continúa siendo el país más afectado, con más de 1700 empresas víctimas, diez veces más que en Canadá o el Reino Unido. Sin embargo, en 2024, India apareció por primera vez en la lista de los países más afectados. Además, los ataques continuaron en Italia, Alemania, Francia y España, lo que demuestra el carácter global de la amenaza.

El creciente auge del ransomware muestra que el cibercrimen evoluciona más rápido que las medidas de protección. Cada nuevo actor en este negocio clandestino ocupa un nicho vacío, demostrando que la lucha contra las amenazas no es un esfuerzo único, sino una carrera constante por la supervivencia.