RansomHub: sobre las ruinas de LockBit surge un nuevo imperio de extorsionadores

El número de ataques de ransomware en 2024 ha batido todos los récords previos, alcanzando los 5 263 casos. Así lo informaron los expertos de la empresa británica NCC Group en su informe anual. En comparación con 2023, los ataques han aumentado un 15 %, a pesar de las detenciones de hackers y las grandes operaciones policiales.

El principal objetivo sigue siendo la infraestructura crítica. Y según los analistas, la situación solo empeorará en 2025: los ciberdelincuentes no dejarán en paz al sector industrial.

Las empresas han sido especialmente afectadas en 2024, con 1 424 ataques registrados frente a los 1 240 de 2023, un aumento del mismo 15 %.

¿Qué está provocando este repunte? NCC Group señala múltiples factores. Los delincuentes detectan rápidamente vulnerabilidades en los programas, se infiltran en los sistemas y roban credenciales de empleados. Aprovechan las tensiones internacionales y en el mercado negro prospera un nuevo modelo de negocio: ransomware-as-a-service (RaaS), que permite incluso a delincuentes sin experiencia llevar a cabo operaciones a gran escala. Además, con el alza del valor de las criptomonedas, en las que suelen exigir los rescates, sus ganancias han alcanzado cifras astronómicas.

Las fuerzas del orden intentan rastrear a las grandes bandas y desmantelar sus servidores, pero el modelo ransomware-as-a-service permite a los delincuentes cambiar de base rápidamente. Tras el colapso de un grupo, sus miembros se unen a otra organización o crean la suya propia y reanudan la actividad criminal.

El mayor golpe policial de 2024 fue la desarticulación de LockBit, la banda responsable de un récord de 526 ataques. En febrero, la Agencia Nacional contra el Crimen del Reino Unido, el FBI y otras agencias de seguridad tomaron el control del sitio web del grupo y revelaron la identidad de su supuesto líder, conocido como LockBitSupp.

El cabecilla fue sancionado, pero no detenido. De hecho, se volvió aún más desafiante y anunció el lanzamiento de una nueva versión del virus, LockBit 4.0, para principios de febrero de 2025. Sin embargo, NCC Group recomienda escepticismo ante estas declaraciones: probablemente los hackers solo intentan intimidar a sus futuras víctimas y mantener su reputación.

Los expertos admiten que, por más esfuerzos que haga la policía para combatir el crimen digital, arrestar a los responsables y desmantelar sus infraestructuras, la lucha cada vez más se asemeja a un interminable juego del gato y el ratón. Un ejemplo revelador es BlackCat/ALPHV: tras la incautación de su sitio, lograron atacar Change Healthcare, presuntamente engañaron a sus propios socios y huyeron con el dinero, para luego simplemente cambiar de nombre y seguir con sus operaciones. Lo mismo ocurrió con Scattered Spider: tras la detención de sus líderes, el grupo reclutó nuevos miembros y reanudó sus actividades ilícitas.

Cuanto mayor es la presión de las autoridades, más grupos criminales aparecen. En 2023, NCC Group monitoreaba a 62 bandas; en 2024, la cifra ascendió a 94.

Entre los nuevos actores destaca RansomHub, surgido en febrero, justo después de la caída de LockBit. La organización rápidamente atrajo a exmiembros de LockBit y ALPHV, quienes no tardaron en retomar su actividad. Como resultado, RansomHub se convirtió en el segundo grupo más activo de 2024, con 501 ataques perpetrados.

En el primer semestre, LockBit atacó a 433 organizaciones, mientras que RansomHub solo a 123. Sin embargo, en la segunda mitad del año, el panorama cambió drásticamente: RansomHub acumuló 378 víctimas, mientras que LockBit solo 93.

Mientras el modelo ransomware-as-a-service siga vigente, ni siquiera el colapso de la mayor banda detendrá la ola de ataques. Basta con que la policía neutralice al líder del mercado para que su lugar sea ocupado por una nueva estructura con mejores incentivos para los operadores y herramientas de ataque más avanzadas. RansomHub ha demostrado que los recién llegados pueden ser aún más eficaces que los veteranos.