Tres grupos destacados de ransomware fuerzadragon, BloquearBity Qilín han anunciado una nueva alianza estratégica contra el ransomware, lo que subraya los continuos cambios en el panorama de las amenazas cibernéticas.
La coalición se considera un intento por parte de los actores de amenazas con motivación financiera de llevar a cabo ataques de ransomware más efectivos, ReliaQuest. dicho en un informe compartido con The Hacker News.
«Anunciada poco después del regreso de LockBit, se espera que la colaboración facilite el intercambio de técnicas, recursos e infraestructura, fortaleciendo las capacidades operativas de cada grupo», señaló la compañía en su informe de ransomware para el tercer trimestre de 2025.
«Esta alianza podría ayudar a restaurar la reputación de LockBit entre los afiliados luego del derribo del año pasado, lo que podría desencadenar un aumento en los ataques a infraestructuras críticas y expandir la amenaza a sectores que antes se consideraban de bajo riesgo».
La asociación con Qilin no sorprende, dado que se ha convertido en el más activo grupo de ransomware en últimos mesescobrándose poco más de 200 víctimas solo en el tercer trimestre de 2025.
«En el tercer trimestre de 2025, Qilin apuntó desproporcionadamente a organizaciones con sede en América del Norte», ZeroFox dicho en su informe de resumen de ransomware del tercer trimestre de 2025. «El ritmo operativo de Qilin comenzó a aumentar significativamente en el cuarto trimestre de 2024, cuando el colectivo llevó a cabo al menos 46 ataques».
El desarrollo coincide con la aparición de LockBit 5.0que está equipado para apuntar a sistemas Windows, Linux y ESXi. La última versión se anunció por primera vez el 3 de septiembre de 2025 en el foro RAMP darknet en el sexto aniversario del programa de afiliados.
LockBit recibió un duro golpe en principios de 2024 tras una operación policial denominada Cronos que se apoderó de su infraestructura y condujo a la arresto de algunos de sus miembros. En su apogeo, se estima que el grupo atacó a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate.
«Si el grupo logra reconstruir su confianza entre sus afiliados, podría resurgir como una amenaza de ransomware dominante, impulsada por motivos financieros y por un deseo de venganza contra las medidas enérgicas de las fuerzas del orden», dijo ReliaQuest.
 |
| Incidentes de I+D por semana en el tercer trimestre de 2025 |
El regreso de LockBit y su alianza se produce cuando el actor de amenazas conocido como Scattered Spider parece estar preparándose para lanzar su propio programa de ransomware como servicio (RaaS) llamado brillantesp1d3rlo que lo convierte en el primer servicio de este tipo realizado por un equipo de extorsión de habla inglesa.
ReliaQuest dijo que está rastreando un total de 81 sitios de fuga de datos, un aumento significativo con respecto a los 51 reportados a principios de 2024. Las empresas del sector de servicios profesionales, científicos y técnicos representan el mayor número de víctimas durante el período, superando las 375.
Otros sectores comúnmente afectados son la manufactura, la construcción, la atención médica, las finanzas y los seguros, el comercio minorista, los servicios de alojamiento y alimentación, la educación, las artes y el entretenimiento, la información y los bienes raíces.
Otra tendencia digna de mención es el aumento de los ataques de ransomware dirigidos a países como Egipto, Tailandia y Colombia, lo que indica que los actores de amenazas se están expandiendo más allá de los «puntos críticos tradicionales» como Europa y Estados Unidos para evadir el escrutinio de las fuerzas del orden. La gran mayoría de las víctimas que figuran en los sitios de fuga de datos se encuentran en los EE. UU., Alemania, el Reino Unido, Canadá e Italia.
Según datos de ZeroFox, ha habido un total de al menos 1.429 incidentes separados de ransomware y extorsión digital (I+DE) en el tercer trimestre de 2025, frente a 1.961 incidentes observados en el primer trimestre de 2025. Se ha descubierto que Qilin, Akira, INC Ransom, Play y SafePay son responsables de aproximadamente el 47 por ciento de todos los ataques globales de I+D en el segundo y tercer trimestre de 2025.
«El ataque desproporcionado a entidades con sede en América del Norte puede atribuirse en parte a las motivaciones geopolíticas y creencias ideológicas de colectivos amenazadores motivados financieramente y alimentados por la oposición a las narrativas políticas y sociales 'occidentales'», dijo la compañía.
«América del Norte alberga una amplia variedad de industrias sólidas que comprenden superficies de ataque digitales sustanciales y de rápido crecimiento. La integración generalizada de tecnologías como servicios de redes en la nube y dispositivos de Internet de las cosas contribuye a la accesibilidad de los activos de América del Norte».
Fuente