Llega a la oficina, enciende su sistema y se establece en pánico. Cada archivo está bloqueado y cada sistema está congelado. Una demanda de rescate parpadea en su pantalla: “Pague $ 2 millones en Bitcoin internamente de las 48 horas o lo pierda todo”.
Y la peor parte es que incluso a posteriori de enriquecer, no hay fianza de recuperar sus datos. Muchas víctimas entregan el billete, solo para acoger ausencia a cambio, o peor, son golpeados nuevamente.
Este no es un caso raro. Los ataques de ransomware son negocios paralizantes en todo el mundo, desde hospitales y bancos hasta pequeñas empresas. La única forma de detener el daño es analizar proactivamente archivos y enlaces sospechosos antiguamente de que puedan ser ejecutados.
A continuación, desglosamos las tres familias de ransomware principales activas en 2025: Lockbit, Lynx y Virlock, y descubrimos cómo el examen interactivo ayuda a las empresas a detectarlas y detenerlas antiguamente de que sea demasiado tarde.
Lockbit: burlando un regreso en 2025
Lockbit es uno de los grupos de ransomware más notorios, conocidos por su oculto enormemente efectivo, tácticas de doble molestia y capacidad para esquivar las medidas de seguridad tradicionales. Operando bajo un maniquí de ransomware como servicio (RAAS), permite a los afiliados distribuir el malware, lo que lleva a ataques generalizados en varias industrias.
Últimos ataques y actividad:
- Drogas de Londres (mayo de 2024): Lockbit apuntó al minorista canadiense London Drugs, que obligó al falleba de todas sus ubicaciones en todo Canadá. Los piratas informáticos exigieron $ 25 millones, filtrando algunos datos de los empleados a posteriori de que la compañía se negó a enriquecer.
- University Hospital Center, Zagreb (junio de 2024): Interrumpió el hospital más holgado de Croacia, obligando al personal a retornar a las operaciones manuales, mientras que los atacantes afirmaron acontecer exfiltrado los registros médicos.
- Evolve Bank & Trust (junio de 2024): Violaron datos financieros confidenciales, con piratas informáticos que afirman falsamente tener información de la Reserva Federal. El ataque expresó preocupaciones conveniente a los lazos de Evolve con las principales empresas fintech.
Muestra de Lockbit:
Echemos un vistazo más de cerca a una muestra de ransomware Lockbit internamente de cualquiera.
Ver sesión de examen
 |
| Los iconos de archivo cambiados internamente de cualquiera. |
Adentro de la caja de arena interactiva, notamos lo primero que se destaca: los iconos del archivo que cambian al logotipo de Lockbit. Este es un signo inmediato de infección por ransomware.
Descubra las tácticas de ransomware en tiempo auténtico y evite infracciones costosas antiguamente de que ocurran.
Pruebe cualquiera. Run infundado durante 14 días
Esto es seguido por una nota de rescate internamente del sandbox, indicando que sus archivos han sido robados y encriptados. El mensaje es claro: enriquecer el rescate, o los datos se publicarán en un sitio web de TOR.
 |
| Nota de rescate que se muestra internamente de un entorno seguro |
En el banda derecho de la pantalla, vemos un desglose detallado de cada proceso que Lockbit se ejecuta para atacar el sistema.
 |
| Process Tree demuestra los comportamientos de Lockbit |
Al hacer clic en cualquier proceso, los equipos de seguridad pueden analizar las tácticas exactas utilizadas en el ataque.
 |
| Desglose detallado de procesos internamente de Sandbox interactivo |
Este tipo de examen es importante para las empresas, ya que les permite comprender cómo se extiende el ransomware, identificar puntos débiles en su seguridad y tomar medidas proactivas para circunvalar amenazas similares antiguamente de causar daños financieros y operativos.
Para un desglose más profundo de las tácticas de ataque, todavía puede hacer clic en el capullo ATT y CK en la cima superior derecha del sandbox. Esto proporciona información detallada sobre cada táctica, ayudando a los equipos a ajustar sus defensas y reforzar las estrategias de respuesta.
 |
| Tácticas y técnicas de Mitre ATT & CK detectadas por cualquiera. |
En este caso, vemos a Lockbit usando varias técnicas peligrosas:
- Obtener mayores privilegios al advenir por suspensión los controles de seguridad.
- Ascendencia de credenciales almacenadas de archivos y navegadores web.
- Escaneo del sistema para compendiar información antiguamente de compendiar archivos.
- Apresurar datos para circunvalar las operaciones comerciales críticas.
Nueva advertencia de ataque en 2025:
A pesar de las acciones de aplicación de la ley, Lockbit continúa representando una amenaza significativa para 2025. El supuesto líder del colección, conocido como Lockbitsupp, advirtió sobre los nuevos ataques de ransomware que se lanzan este febrero. Esto significa que las empresas no pueden permitirse desmontar la agente.
Lynx: La creciente amenaza para las pequeñas y medianas empresas
Lynx es un colección de ransomware relativamente nuevo que surgió a mediados de 2024 y rápidamente creó una reputación por su enfoque enormemente agresivo. A diferencia de las pandillas de ransomware más grandes que se centran en los gigantes corporativos, Lynx deliberadamente persigue pequeñas y medianas empresas en América del Ártico y Europa, aprovechando las medidas de seguridad más débiles.
Su organización se basamento en la doble molestia. No solo encriptan archivos, sino que todavía amenazan con filtrar datos robados tanto en sitios web públicos como en foros web oscuros si las víctimas se niegan a enriquecer. Esto obliga a las empresas a una opción ficticio: enriquecer el rescate o el peligro de tener datos confidenciales, detalles financieros y registros de clientes expuestos en hilera.
Zaguero ataque de Lynx:
A mediados de enero de 2025, Lynx se dirigió a los ingenieros Lowe, una firma prominente de ingeniería civil con sede en Atlanta, Georgia. El ataque condujo a la exfiltración de datos confidenciales, incluida la información confidencial del esquema y los detalles del cliente. Dada la billete de la empresa en proyectos de infraestructura crítica, esta violación planteó preocupaciones significativas sobre los posibles impactos en los contratos federales y municipales.
Muestra de astuto:
Gracias a Any.
Ver examen de Sandbox de Lynx
En el momento en que cargamos y iniciamos el archivo ejecutable solapado en el sandbox basado en la montón de Any.
 |
| La pestaña de modificación de archivos proporciona los cambios de la actividad del sistema de archivos |
Poco a posteriori, aparece una nota de rescate, y el fondo de pantalla de escritorio se reemplaza con un mensaje de molestia que dirige a las víctimas a un sitio de Tor, donde los atacantes exigen el plazo.
 |
| Ransomware de astuto cambiando el fondo de pantalla internamente de cualquiera. |
Adentro de la caja de arena.
 |
| La nota del rescate incluye enlaces .donion que dirigen a las víctimas al portal de comunicación de los atacantes |
En la sección Mitre ATT & CK, obtenemos un desglose claro de las tácticas y técnicas de Lynx, revelando cómo funciona:
 |
| Tácticas y técnicas de Mitre ATT & CK utilizadas por Lynx Ransomware |
- Apresurar archivos para circunvalar los datos comerciales críticos.
- Renombra los archivos para imitar otras cepas de ransomware.
- Consulta el registro para escanear los detalles del sistema y el software de seguridad.
- Lección de información de CPU para evaluar el entorno objetivo.
- Comprobación de políticas de software para determinar la configuración de seguridad antiguamente de continuar.
Virlock: un ransomware autorreplicante que no morirá
Virlock es una cepa de ransomware única que surgió por primera vez en 2014. A diferencia del ransomware distintivo, Virlock no solo monograma los archivos sino que todavía los infecta, convirtiendo cada uno en un infector de archivos polimórficos. Esta capacidad dual le permite tirarse rápidamente, especialmente a través de plataformas de almacenamiento y colaboración en la montón.
Ataques recientes:
En examen recientes, se ha observado que Virlock se extiende sigilosamente a través de aplicaciones de almacenamiento y colaboración en la montón. Cuando el sistema de un favorecido está infectado, Virlock encripta e infecta archivos, que luego se sincronizan con entornos en la montón compartidos.
Los colaboradores que acceden a estos archivos compartidos ejecutan inadvertidamente los archivos infectados, lo que lleva a un decano distribución internamente de la estructura.
Muestra de Virlock:
Analicemos el comportamiento de Virlock utilizando una muestra en tiempo auténtico internamente de cualquiera.
Ver examen de sandbox de Virlock
 |
| Ransomware Virlock internamente de VM |
Al igual que Lockbit y Lynx, Virlock deja caer una nota de rescate tras la ejecución. Sin secuestro, esta vez, exige el plazo en Bitcoin, una táctica popular entre los operadores de ransomware.
En esta muestra específica, Virlock solicita el equivalente de $ 250 en Bitcoin, amenazando con eliminar los archivos permanentemente si no se paga el rescate.
Curiosamente, la nota de rescate no solo exige el plazo. Incluso incluye una orientación sobre Bitcoin, explicando qué es y cómo las víctimas pueden adquirirla para el plazo.
 |
| Nota de rescate que exige bitcoin dejado por Virlock |
Durante la ejecución, cualquiera. Run detecta varias actividades maliciosas, revelando cómo funciona Virlock:
 |
| Comportamiento de ransomware Virlock analizado por Interactive Sandbox |
- Se identifica un mutex específico de Virlock, que ayuda al malware a certificar que solo una instancia se ejecute a la vez para evitar interferencias.
- Virlock ejecuta comandos a través de archivos de lotes (.bat), iniciando cmd.exe para realizar acciones maliciosas.
- El ransomware modifica el registro de Windows utilizando Reg/Regedit.exe, que es probable que establezca persistencia o deshabilite las características de seguridad.
Cada sesión de sandbox en cualquiera. Run genera automáticamente un crónica detallado que se puede compartir fácilmente internamente de una empresa. Estos informes están formateados para un examen posterior, ayudando a los equipos de seguridad a colaborar y desarrollar estrategias efectivas para combatir las amenazas de ransomware en 2025.
 |
| Noticia generado por cualquiera. Run Sandbox |
Ransomware en 2025: una amenaza creciente que puede detener
El ransomware es más agresivo que nunca, interrumpiendo las empresas, robando datos y exigiendo millones en rescate. El costo de un ataque incluye operaciones perdidas, reputación dañada y confianza robada de clientes.
Puede detener el ransomware antiguamente de que te bloquee. Al analizar archivos sospechosos en cualquier caja de arena interactiva de Any.
Pruebe cualquiera.
