Tres destacados grupos de ransomware, DragonForce, LockBit y Qilin, han anunciado una nueva alianza estratégica de ransomware, una vez que subrayan los continuos cambios en el panorama de las amenazas cibernéticas.
La coalición es olfato como un intento por parte de los actores de amenazas con motivación financiera de transigir a lugar ataques de ransomware más efectivos, dijo ReliaQuest en un referencia compartido con The Hacker News.
«Anunciada poco luego del regreso de LockBit, se dilación que la colaboración facilite el intercambio de técnicas, capital e infraestructura, fortaleciendo las capacidades operativas de cada rama», señaló la compañía en su referencia de ransomware para el tercer trimestre de 2025.
«Esta alianza podría ayudar a restaurar la reputación de LockBit entre los afiliados luego del derribo del año pasado, lo que podría desencadenar un aumento en los ataques a infraestructuras críticas y expandir la amenaza a sectores que ayer se consideraban de bajo aventura».
La asociación con Qilin no es una sorpresa, cedido que se ha convertido en el rama de ransomware más activo en los últimos meses, con poco más de 200 víctimas solo en el tercer trimestre de 2025.
«En el tercer trimestre de 2025, Qilin apuntó desproporcionadamente a organizaciones con sede en América del Meta», dijo ZeroFox en su referencia de compendio de ransomware del tercer trimestre de 2025. «El ritmo operante de Qilin comenzó a aumentar significativamente en el cuarto trimestre de 2024, cuando el colectivo llevó a lugar al menos 46 ataques».
El incremento coincide con la aparición de LockBit 5.0, que está diseñado para sistemas Windows, Linux y ESXi. La última lectura se anunció por primera vez el 3 de septiembre de 2025 en el foro RAMP darknet en el sexto aniversario del software de afiliados.
LockBit recibió un duro ocurrencia a principios de 2024 luego de una operación policial denominada Cronos que se apoderó de su infraestructura y condujo al arresto de algunos de sus miembros. En su apogeo, se estima que el rama atacó a más de 2.500 víctimas en todo el mundo y recibió más de 500 millones de dólares en pagos de rescate.
«Si el rama logra recobrar su confianza entre sus afiliados, podría resurgir como una amenaza de ransomware dominante, impulsada por motivos financieros y por un deseo de venganza contra las medidas enérgicas de las fuerzas del orden», dijo ReliaQuest.
 |
| Incidentes de I+D por semana en el tercer trimestre de 2025 |
El regreso de LockBit y su alianza se produce cuando el actor de amenazas conocido como Scattered Spider parece estar preparándose para propalar su propio software de ransomware como servicio (RaaS) llamado ShinySp1d3r, convirtiéndolo en el primer servicio de este tipo realizado por un equipo de molestia de acento inglesa.
ReliaQuest dijo que está rastreando un total de 81 sitios de fuga de datos, un aumento significativo con respecto a los 51 reportados a principios de 2024. Las empresas del sector de servicios profesionales, científicos y técnicos representan el maduro número de víctimas durante el período, superando las 375.
Otros sectores comúnmente afectados son la manufactura, la construcción, la atención médica, las finanzas y los seguros, el comercio minorista, los servicios de alojamiento y viandas, la educación, las artes y el entretenimiento, la información y los acervo raíces.
Otra tendencia digna de mención es el aumento de los ataques de ransomware dirigidos a países como Egipto, Tailandia y Colombia, lo que indica que los actores de amenazas se están expandiendo más allá de los «puntos críticos tradicionales» como Europa y Estados Unidos para escamotear el pesquisa de las fuerzas del orden. La gran mayoría de las víctimas que figuran en los sitios de fuga de datos se encuentran en los EE. UU., Alemania, el Reino Unido, Canadá e Italia.
Según datos de ZeroFox, ha habido un total de al menos 1.429 incidentes separados de ransomware y molestia digital (I+DE) en el tercer trimestre de 2025, frente a 1.961 incidentes observados en el primer trimestre de 2025. Se ha descubierto que Qilin, Akira, INC Ransom, Play y SafePay son responsables de aproximadamente el 47 por ciento de todos los ataques globales de I+D en el segundo y tercer trimestre de 2025.
«El ataque desproporcionado a entidades con sede en América del Meta puede atribuirse en parte a las motivaciones geopolíticas y creencias ideológicas de colectivos amenazadores motivados financieramente y alimentados por la examen a las narrativas políticas y sociales ‘occidentales'», dijo la compañía.
«América del Meta alberga una amplia variedad de industrias sólidas que comprenden superficies de ataque digitales sustanciales y de rápido crecimiento. La integración generalizada de tecnologías como servicios de redes en la abundancia y dispositivos de Internet de las cosas contribuye a la accesibilidad de los activos de América del Meta».
