Los investigadores de ciberseguridad han arrojado luz sobre una nueva operación de ransomware como servicio (RAAS) emplazamiento Camarilla universal Eso ha abonado a una amplia escala de sectores en Australia, Brasil, Europa y Estados Unidos desde su aparición a principios de junio de 2025.
Completo Group fue «promovido en el foro RAMP4U por el actor de amenaza conocido como ‘$$$'», dijo el investigador de Eclecticiq Arda Büyükkaya. «El mismo actor controla los Raas Blacklock y las operaciones de ransomware de Mamona previamente administradas».
Se cree que Completo Group es un cambio de marca de Blacklock luego de que el sitio de fuga de datos de este extremo fue desfigurado por el cartel de ransomware de Dragonforce en marzo. Vale la pena mencionar que Blacklock en sí mismo es un cambio de marca de otro esquema Raas conocido como Eldorado.
Se ha opuesto que el clan de motivación financiera se inclina fuertemente en los corredores de entrada iniciales (IBAB) para implementar el ransomware armando el entrada a los electrodomésticos vulnerables de las redes de Cisco, Fortinet y Palo Parada. Todavía se usan para utilizar la fuerza bruta para los portales de Microsoft Outlook y RDWEB.
$$$ ha adquirido el protocolo de escritorio remoto (RDP) o el entrada a las redes corporativas a las redes corporativas, como las relacionadas con las firmas de abogados, como una forma de implementar herramientas posteriores a la explotación, realizar movimiento limítrofe, datos de sifón e implementar el ransomware.
La subcontratación de la período de infiltración a otros actores de amenaza, que suministran puntos de entrada precompprometidos a redes empresariales, permite a los afiliados vestir sus esfuerzos en la entrega de carga útil, la perturbación y la negociación en división de la penetración de la red.
La plataforma RAAS viene con un portal de negociación y un panel de afiliados, el extremo de los cuales permite que los cibercriminales administren víctimas, construyan cargas efectos de ransomware para VMware ESXi, NAS, BSD y Windows, y operaciones de celador. En un intento por atraer a más afiliados, los actores de amenaza prometen un maniquí de intercambio de ingresos del 85%.
«El panel de negociación de rescate de Completo Group presenta un sistema automatizado impulsado por chatbots impulsados por la IA», dijo la compañía de seguridad holandesa. «Esto permite a los afiliados que no hablan inglés involucran a las víctimas de modo más efectiva».
A partir del 14 de julio de 2025, el Camarilla RAAS ha reclamado 17 víctimas en Australia, Brasil, Europa y Estados Unidos, que alpargata la atención médica, la fabricación de equipos de unto y gas, la maquinaria industrial y la ingeniería de precisión, la reparación automotriz, los servicios de recuperación de accidentes y la externalización de procesos comerciales a gran escalera (BPO).
Los enlaces a Blacklock y Mamona provienen del uso del mismo proveedor de VPS ruso ipserver y similitudes de código fuente con Mamona. Específicamente, se dice que Completo Group es una cambio de Mamona con características adicionales para habilitar la instalación de ransomware de todo el dominio. Por otra parte, el malware asimismo está escrito en GO, al igual que Blacklock.
«La creación de Completo Group del administrador de Blacklock es una táctica deliberada para modernizar las operaciones, expandir las fuentes de ingresos y mantenerse competitivo en el mercado de ransomware», dijo Büyükkaya. «Esta nueva marca integra negociación con IA, paneles para dispositivos móviles y constructores de carga útil personalizables, atrayendo a un clan más amplio de afiliados».
La divulgación se produce cuando el Camarilla de Ransomware Qilin surgió como la operación RAAS más activa en junio de 2025, representando a 81 víctimas. Otros jugadores principales incluyen Akira (34), Play (30), Safepay (27) y Dragonforce (25).
«Safepay vio la disminución más pronunciada del 62.5%, lo que sugiere un retroceso importante», dijo Cyfirma, la compañía de seguridad cibernética. «Dragonforce surgió rápidamente, con ataques que aumentaron en un 212.5%».
En total, el número total de víctimas de ransomware ha disminuido de 545 en mayo a 463 en junio de 2025, una disminución del 15%. Febrero encabeza la relación de este año con 956 víctimas.
«A pesar de la disminución en los números, las tensiones geopolíticas y los ataques cibernéticos de detención perfil resaltan la creciente inestabilidad, potencialmente aumentando el aventura de amenazas cibernéticas», señaló NCC Group a fines del mes pasado.
Según los datos recopilados por el Centro Completo de Inteligencia de Amenazas (GTIC) de Optiv, 314 víctimas de ransomware fueron enumeradas en 74 sitios de fuga de datos únicos en el primer trimestre de 2025, lo que representa un aumento del 213% en el número de víctimas. Se observaron un total de 56 variantes en el Q1 2024.
«Los operadores de ransomware continuaron utilizando métodos probados y verdaderos para obtener entrada auténtico a las víctimas: ingeniería social/phishing, explotación de vulnerabilidades de software, comprometer el software expuesto e inseguro, los ataques de la condena de suministro y usar la comunidad de corredores de entrada auténtico (IAB)», dijo la investigadora de optiv Emily Lee.
