Durante el cuarto mes del año hubo algunos cambios interesantes en el top 5 de las bandas de ransomware más activas. Las interrupciones que afectaron a la operación de ransomware como servicio RansomHub, la cual fue usurpada por DragonForce, han llevado a la banda de ransomware Qilin a dominar el panorama de estos ciberataques en abril. Según se hace eco Cyble en un informe, este grupo comprometió a 74 víctimas.
Akira, con vínculos rusos, fue la segunda banda de ransomware más activa. Se le contabilizan 70 víctimas. Por detrás se situaron Play (50), Lynx (31) y NightSpire (24).
Un informe de Cyble señaló que EE.UU. continuó siendo el principal objetivo de las intrusiones de ransomware. Esta aumentó tras la aparición de nuevos líderes de RaaS (Ransomware-as-a-service).
La operación Silent Team, que estuvo detrás del ataque a una compañía de ingeniería estadounidense y un fabricante aeroespacial canadiense, se coló entre los grupos más prolíficos del cuarto mes del año.
Asimismo, también se erigió a los primeros puestos Guntra, siendo responsable de los incidentes contra una compañía panameña de bebidas y distribución, una empresa médica egipcia y una organización inmobiliaria japonesa.
RansomHub, que había liderado desde principios de 2024, reinvidicó solo tres 'golpes'. Todos ellos fueron el día en que el sitio de fugas de datos (DLS) se desconectó. No obstante, esta podría volver a re-armarse en cualquier momento.
Cyble señala que el enfrentamiento entre RansomHub y DragonForce "pone de manifiesto no solo la volatilidad dentro del inframundo de los ciberdelincuentes, sino también la competencia de alto riesgo que impulsa la rápida evolución de las capacidades de ransomware".
Además, el hecho de que los grupos hacktivistas se estén moviendo cada vez más hacia el ransomware sugiere que no hay precisamente escasez de actores de amenazas dispuestos a usar este malware destructivo.
Aunque ninguna industria se ha librado de estos incidentes durante abril, varios ataques han afectado a empresas de software y TI, lo que habría aumentado el potencial de impactos en la cadena de suministro posterior.
España, el cuarto país europeo más atacado
En el global los ataques de ransomware de abril han caído a 450 desde 564 sufridos en marzo, lo que supone el nivel más bajo desde noviembre de 2024. Los cambios importantes entre los principales grupos de ransomware como servicio ocasionaron que muchas afiliados se alinearan con nuevos grupos.
No obstante, la tendencia a largo plazo de estos ataques sigue siendo decididamente al alza, por lo que este descenso podría revertirse pronto si se establecen nuevos líderes de RaaS.
EE.UU ha vuelto a liderar el ranking geográfico de los países más atacados, con 234 incidentes. Canadá está en segunda posición a mucha distancia (26). Por debajo se encuentran Alemania (23), Italia (19) y Reino Unido (12).
En Europa Akira fue el principal atacante, mientras que España y Suiza completaron el top 5 de países europeos más en el punto de mira de los actores de amenazas que usan ransomware. A nuestro país se dirigieron 7 'torpedos'. Pero en total hubo 108 incursiones de este tipo en la región.