Conclusiones esencia:
- 85 grupos activos de ransomware y trastorno observado en el tercer trimestre de 2025, lo que refleja el ecosistema de ransomware más descentralizado hasta la término.
- 1.590 víctimas descubiertas en 85 sitios de fugas, mostrando una actividad inscripción y sostenida a pesar de la presión de las autoridades.
- 14 nuevas marcas de ransomware atrevido este trimestre, lo que demuestra la ligereza con la que los afiliados se reconstituyen luego de los retiros.
- La reaparición de LockBit con la lectura 5.0 señala una posible recentralización luego de meses de fragmentación.
En el tercer trimestre de 2025, Check Point Research registró un récord de 85 grupos activos de ransomware y trastornoel más detención de ningún modo observado. Lo que alguna vez fue un mercado concentrado dominado por unos pocos gigantes del ransomware como servicio (RaaS) se ha dividido en docenas de operaciones más pequeñas y de corta duración.
Esta proliferación de sitios de fuga representa un cambio estructural fundamental. Las mismas presiones de aplicación de la ley y del mercado que perturbaron a los grandes grupos de RaaS han alimentado una ola de actores oportunistas y descentralizados, muchos de ellos dirigidos por antiguos afiliados que ahora operan de forma independiente.
Lea el mensaje completo sobre ransomware del tercer trimestre de 2025
Un récord de 85 grupos activos
En más de 85 sitios de filtraciones monitoreados, los operadores de ransomware publicaron:
- 1.592 nuevas víctimas en el tercer trimestre de 2025.
- Un promedio de 535 divulgaciones por mes.
- Un cambio de poder importante: los diez grupos principales representaron sólo el 56% de las víctimas, frente al 71% de principios de este año.
Los actores más pequeños ahora están publicando menos de diez víctimas cada uno, lo que refleja un aumento en las operaciones independientes fuera de las jerarquías tradicionales de RaaS. Muchos surgieron del colapso de RansomHub, 8Base y BianLian. Catorce nuevos grupos comenzaron a anunciar solo en el tercer trimestre, lo que eleva el total de 2025 a 45.
La fragmentación a este nivel erosiona la previsibilidad, que alguna vez fue la preeminencia del profesional de la seguridad cibernética. Cuando dominaban las grandes marcas de RaaS, los equipos de seguridad podían rastrear los comportamientos de los afiliados y la reutilización de la infraestructura. Ahora, docenas de sitios de filtraciones efímeras hacen que la atribución fugaz y la inteligencia basada en la reputación sean mucho menos confiables.
 |
| Proporción del total de víctimas por los 10 principales grupos de ransomware, primer trimestre de 2025 |
Lea el mensaje completo sobre ransomware del tercer trimestre de 2025.
El impacto restringido de la aplicación de la ley
Varias eliminaciones de detención perfil este año dirigidas a grupos como RansomHub y 8Base no han corto significativamente el comba de ransomware. Los afiliados desplazados por estas operaciones simplemente migran o cambian de marca.
El problema es estructural. Los esfuerzos de aplicación de la ley suelen desmantelar la infraestructura o apoderarse de dominios, no de los afiliados que ejecutan los ataques. Cuando una plataforma cae, esos operadores se dispersan y se reagrupan en cuestión de días. El resultado es un ecosistema más amplio y resiliente que refleja las finanzas descentralizadas o las comunidades de código amplio más que una clase criminal tradicional.
Esta difusión además socava la credibilidad del mercado del ransomware. Los equipos más pequeños y de corta duración no tienen ningún incentivo para cumplir los acuerdos de rescate o proporcionar claves de descifrado. Las tasas de plazo, estimadas entre el 25 y el 40 por ciento, continúan disminuyendo a medida que las víctimas pierden confianza en las promesas de los atacantes.
Retorno y recentralización de LockBit
En septiembre de 2025, LockBit 5.0 marcó el regreso de una de las marcas más duraderas del ciberdelito.
Su administrador, LockBitSupp, había anunciado un regreso durante meses luego del derribo de 2024 bajo la Operación Cronos. La nueva lectura ofrece:
- Variantes actualizadas de Windows, Linux y ESXi.
- Criptográfico más rápido y distracción mejorada.
- Portales de negociación únicos por víctima.
Al menos una docena de víctimas fueron alcanzadas durante el primer mes. La campaña demuestra una renovada confianza y sensatez técnica de los afiliados.
Para los atacantes, unirse a una marca reconocible como LockBit aporta poco que los equipos más pequeños no pueden ofrecer: reputación. Es más probable que las víctimas paguen cuando creen que efectivamente recibirán claves de descifrado, confianza que los grandes programas RaaS mantienen cuidadosamente.
Si LockBit logra atraer afiliados que buscan estructura y credibilidad, podría recentralizar una parte importante de la finanzas del ransomware. La centralización tiene un doble objeto. Facilita el seguimiento pero aumenta la escalera potencial de ataques coordinados.
 |
| Nota de rescate de LockBit 5.0 por un ataque |
DragonForce y el desempeño del poder
fuerzadragon ilustra otra logística de supervivencia: la visibilidad a través de la marca. En septiembre, el agrupación afirmó públicamente formar coaliciones con LockBit y Qilin en foros clandestinos. No se ha verificado ninguna infraestructura compartida y las alianzas parecen más simbólicas que operativas.
Aún así, estos movimientos resaltan la desarrollo del ransomware con destino a un marketing de estilo corporativo. DragonForce se promociona con:
- Anuncios de asociaciones de afiliados.
- Servicios de auditoría de datos para analizar datos robados y mejorar el utilización de la trastorno.
- Relaciones públicas orientadas a proyectar solidez y confiabilidad.
Los mensajes del agrupación reflejan un mercado competitivo donde la imagen y la credibilidad son tan valiosas como la velocidad de secreto.
 |
| Ejemplo de auditoría de DragonForce |
Tendencias geográficas y de la industria
La focalización universal en el tercer trimestre de 2025 reflejó en gran medida los trimestres anteriores, pero con distintos cambios regionales y sectoriales.
- Estados Unidos representaron aproximadamente la fracción de todas las víctimas denunciadas y siguen siendo el objetivo principal de los actores con motivación financiera.
- Corea del Sur entró entre los diez primeros a nivel mundial por primera vez, casi en su totalidad oportuno a la campaña centrada de Qilin contra las empresas financieras.
- Europa permaneció muy activo, y Alemania y el Reino Unido sufrieron una presión sostenida por parte de Safepay e INC Ransom.
Lea el mensaje completo sobre ransomware del tercer trimestre de 2025
Del banda industrial:
- Fabricación y servicios empresariales cada uno representó en torno a del 10 por ciento de los casos registrados.
- Cuidado de la vitalidad se mantuvo estable en un 8 por ciento, aunque algunos grupos como Play evitan el sector para compendiar el recuento.
Estos cambios muestran cómo el ransomware se lazarillo más por la dialéctica empresarial que por la ideología. Los actores buscan sectores y regiones con datos de detención valencia y pérdida tolerancia al tiempo de inactividad.
El camino por delante
El tercer trimestre de 2025 confirma la resistor estructural del ransomware. La aplicación de la ley y la presión del mercado ya no suprimen el comba universal; simplemente remodelan el paisaje. Cada derribo dispersa a los actores que rápidamente resurgen con nuevos nombres o se unen a colectivos emergentes.
El regreso de LockBit añade otra capa de complejidad, lo que plantea la cuestión de si el ransomware está entrando en un nuevo ciclo de consolidación. Si LockBit restablece el dominio, puede restaurar cierta previsibilidad pero además reactivar campañas coordinadas a gran escalera que equipos más pequeños no pueden ejecutar.
Para los profesionales de la seguridad cibernética, la conclusión es clara. El seguimiento de las marcas ya no es suficiente. Los analistas deben monitorear movilidad de afiliados, superposición de infraestructuray incentivos económicos – las fuerzas subyacentes que sustentan el ransomware incluso cuando sus caras se fragmentan.
🔗 Lea el mensaje completo sobre ransomware del tercer trimestre de 2025 →
