Pese a que las operaciones internacionales de las fuerzas del orden han logrado interrumpir esquemas prominentes de Ransomware, los ciberdelincuentes continúan demostrando su resiliencia y capacidad de adaptación. En 2025, los investigadores de la Counter Threat Unit (CTU) de Secureworks, una empresa de Sophos, observaron que los operadores de Ransomware DragonForce y Anubis introdujeron novedosos modelos para atraer afiliados y aumentar sus ganancias.
DragonForce: Modelo de marca distribuido para afiliados
DragonForce surgió en agosto de 2023 como un esquema tradicional de Ransomware como servicio (RaaS). Después de que sus operadores comenzaron a promocionar su oferta en foros clandestinos en febrero de 2024, el número de víctimas publicadas en su sitio de filtraciones creció de manera constante hasta llegar a 136, al 24 de marzo de 2025. En una publicación subterránea del 19 de marzo de 2025, DragonForce se reconfiguró como un “cartel” y anunció su transición a un modelo distribuido que permite a los afiliados crear sus propias “marcas”.
En este modelo, DragonForce proporciona su infraestructura y herramientas, pero no exige que los afiliados utilicen su Ransomware. Las características anunciadas incluyen paneles de administración y cliente, herramientas de cifrado y negociación de rescates, un sistema de almacenamiento de archivos, un sitio de filtraciones basado en Tor y dominio “onion”, así como servicios de soporte.
Este enfoque diferencia a DragonForce de otras ofertas de RaaS y puede resultar atractivo para diversos tipos de afiliados. Por ejemplo, la infraestructura establecida y las herramientas accesibles amplían las oportunidades para actores de amenazas con conocimientos técnicos limitados. Incluso los actores más sofisticados pueden valorar la flexibilidad de desplegar su propio malware sin necesidad de crear y mantener su propia infraestructura. Al ampliar su base de afiliados, DragonForce puede aumentar su potencial de ganancias financieras. Sin embargo, la infraestructura compartida también introduce riesgos para DragonForce y sus afiliados. Si uno de ellos se ve comprometido, podrían quedar expuestos los detalles operativos y de las víctimas de los demás afiliados.
Anubis: Tres opciones de extorsión
Los operadores de Anubis emplean una táctica diferente para atraer afiliados. Este esquema de extorsión, que fue anunciado por primera vez en foros clandestinos a finales de febrero de 2025, ofrece tres modalidades:
- RaaS (Ransomware como Servicio): un enfoque tradicional que implica cifrado de archivos y ofrece a los afiliados el 80% del rescate.
- Rescate por datos: una opción de extorsión basada únicamente en el robo de datos, en la que los afiliados reciben el 60% del rescate.
- Monetización de accesos: un servicio que ayuda a los actores de amenazas a extorsionar a víctimas que ya han sido comprometidas, y ofrece a los afiliados el 50% del rescate.
La opción de “rescate por datos” implica la publicación de un “artículo investigativo” detallado en un sitio web de Tor protegido por contraseña. El artículo contiene un análisis de los datos sensibles de la víctima. Se le concede acceso al artículo y se le proporciona un enlace para negociar el pago. Si la víctima no paga el rescate, lo amenazan con publicar el artículo en el sitio de filtraciones de Anubis. Los operadores aumentan la presión publicando los nombres de las víctimas a través de una cuenta de X (antes Twitter). Los actores de amenazas afirman que también notificarán a los clientes de las víctimas sobre la filtración. Estas tácticas ya han sido utilizadas por varios grupos de Ransomware, pero los operadores de Anubis amenazan con llevar las notificaciones un paso más allá, incluyendo diversas autoridades.
Perspectivas a futuro
El informe State of the Threat 2024 de Secureworks, la compañía adquirida por Sophos recientemente, reafirma que el Ransomware sigue siendo una amenaza significativa para las organizaciones. Mientras las operaciones son desmanteladas por las autoridades, surgen nuevos esquemas. Sin embargo, reportes de terceros indican que los pagos de rescates están disminuyendo. Esta tendencia se ve respaldada por el aumento en el número de víctimas publicadas en sitios de filtraciones de Ransomware, ya que esas publicaciones reflejan a quienes no han pagado. Los ciberdelincuentes están motivados por el lucro, por lo que están adoptando modelos innovadores y tácticas de presión más agresivas para revertir esta tendencia a su favor.
Si bien la decisión de pagar un rescate depende de la evaluación individual de riesgos de cada organización, el pago no garantiza que la víctima recupere el acceso a sus datos ni que evite la exposición pública. Un enfoque preventivo y proactivo puede ser más efectivo.
Los investigadores del CTU recomiendan que las organizaciones apliquen parches con regularidad a dispositivos con acceso a internet, implementen autenticación multifactor resistente a phishing como parte de una política de acceso condicional, mantengan copias de seguridad sólidas y monitoreen su red y endpoints en busca de actividad maliciosa. Además, deben desarrollar y probar con frecuencia un plan de respuesta ante incidentes para poder mitigar rápidamente una actividad relacionada con Ransomware. La Agencia de Ciberseguridad y Seguridad de Infraestructura de EU (CISA) y el Centro Nacional de Ciberseguridad del Reino Unido (NCSC) también han publicado lineamientos para reducir el riesgo de ataques de Ransomware.
Descubre más sobre cómo los actores de amenazas han adaptado históricamente sus operaciones en el informe Ransomware Evolution de Secureworks, una marca de Sophos. Si necesitas asistencia urgente ante un incidente, contacta al equipo de Respuesta a Incidentes de Secureworks.