Las 3 principales amenazas de ransomware activas en 2025

Llegas a la oficina, enciendes el sistema y te invade el pánico. Todos los archivos están bloqueados y todos los sistemas congelados. En la pantalla aparece una exigencia de rescate: «Paga 2 millones de dólares en bitcoins en 48 horas o lo perderás todo».

Y lo peor es que, incluso después de pagar, no hay garantía de que recuperes tus datos. Muchas víctimas entregan el dinero y no reciben nada a cambio o, peor aún, vuelven a ser atacadas.

No se trata de un caso raro. Los ataques de ransomware están paralizando empresas de todo el mundo, desde hospitales y bancos hasta pequeñas empresas. La única forma de detener el daño es analizar de forma proactiva los archivos y enlaces sospechosos antes de que puedan ejecutarse.

A continuación, desglosamos las tres principales familias de ransomware activas en 2025: LockBit, Lynx y Virlock, y descubrimos cómo el análisis interactivo ayuda a las empresas a detectarlas y detenerlas antes de que sea demasiado tarde.

LockBit: se anticipa su regreso en 2025

LockBit es uno de los grupos de ransomware más conocidos, conocido por su cifrado altamente eficiente, sus tácticas de doble extorsión y su capacidad para evadir las medidas de seguridad tradicionales. Operando bajo un modelo de ransomware como servicio (RaaS), permite a sus afiliados distribuir el malware, lo que lleva a ataques generalizados en varias industrias.

Últimos ataques y actividad:

London Drugs (mayo de 2024): LockBit atacó al minorista canadiense London Drugs y obligó a cerrar todas sus sucursales en Canadá. Los piratas informáticos exigieron 25 millones de dólares y filtraron algunos datos de los empleados después de que la empresa se negara a pagar.
Centro Hospitalario Universitario de Zagreb (junio de 2024): Los ataques interrumpieron el hospital más grande de Croacia, lo que obligó al personal a volver a realizar operaciones manuales mientras los atacantes afirmaban haber exfiltrado registros médicos.
Evolve Bank & Trust (junio de 2024): Se vulneraron datos financieros confidenciales y los piratas informáticos afirmaron falsamente que tenían información de la Reserva Federal. El ataque generó inquietud debido a los vínculos de Evolve con importantes empresas de tecnología financiera.

Nueva alerta de ataque en 2025:

A pesar de las medidas de aplicación de la ley, LockBit sigue representando una amenaza importante para 2025. El supuesto líder del grupo, conocido como LockBitSupp, ha advertido sobre nuevos ataques de ransomware que se lanzarán en febrero. Esto significa que las empresas no pueden permitirse el lujo de bajar la guardia.

Lynx: la creciente amenaza para las pequeñas y medianas empresas

Lynx es un grupo de ransomware relativamente nuevo que surgió a mediados de 2024 y rápidamente se ganó una reputación por su enfoque altamente agresivo. A diferencia de las bandas de ransomware más grandes que se centran en los gigantes corporativos, Lynx ataca deliberadamente a pequeñas y medianas empresas en América del Norte y Europa, aprovechando las medidas de seguridad más débiles.

Su estrategia se basa en una doble extorsión. No solo cifran los archivos, sino que también amenazan con filtrar los datos robados tanto en sitios web públicos como en foros de la dark web si las víctimas se niegan a pagar. Esto obliga a las empresas a tomar una decisión imposible: pagar el rescate o arriesgarse a que sus datos confidenciales, detalles financieros y registros de clientes queden expuestos en línea.

Último ataque de Lynx:

A mediados de enero de 2025, Lynx atacó a Lowe Engineers, una importante empresa de ingeniería civil con sede en Atlanta, Georgia. El ataque provocó la exfiltración de datos confidenciales, incluida información confidencial de proyectos y detalles de clientes. Dada la participación de la empresa en proyectos de infraestructura críticos, esta vulneración generó importantes preocupaciones sobre posibles impactos en los contratos federales y municipales.

Virlock: un ransomware autorreplicante que no morirá

Virlock es una cepa única de ransomware que apareció por primera vez en 2014. A diferencia del ransomware típico, Virlock no solo cifra los archivos, sino que también los infecta, convirtiendo a cada uno en un infector de archivos polimórfico. Esta doble capacidad le permite propagarse rápidamente, especialmente a través de plataformas de colaboración y almacenamiento en la nube.

Ataques recientes:

En análisis recientes, se ha observado que Virlock se propaga de forma sigilosa a través de aplicaciones de colaboración y almacenamiento en la nube. Cuando el sistema de un usuario se infecta, Virlock cifra e infecta archivos, que luego se sincronizan con entornos de nube compartidos.

Los colaboradores que acceden a estos archivos compartidos ejecutan sin darse cuenta los archivos infectados, lo que provoca una mayor propagación dentro de la organización.

Ransomware en 2025: una amenaza creciente que puedes detener

El ransomware es más agresivo que nunca: afecta a empresas, roba datos y exige millones de dólares en rescates. El costo de un ataque incluye la pérdida de operaciones, daños a la reputación y pérdida de la confianza de los clientes.

Fuente y redacción: thehackernews.com

LockBit: se anticipa su regreso en 2025

Últimos ataques y actividad:

Lynx: la creciente amenaza para las pequeñas y medianas empresas

Virlock: un ransomware autorreplicante que no morirá

Ransomware en 2025: una amenaza creciente que puedes detener

CryWiper: ransomware falso

Vulnerabilidades explotadas en campañas de ransomware desde 2017 a 2023

CL0P, el ransomware que pone en jaque a públicos y privados