El ransomware domina el panorama del cibercrimen, con SafePay como amenaza más significativa
- Actualidad
Empleando una estrategia de doble extorsión, SafePay ha superado a otras amenazas para posicionarse como el actor más prevalente. Mientras tanto, FakeUpdates continúa dominando como el malware más extendido y Anubis ocupa el primer puesto como malware para móviles.
Check Point Research publica su Índice Global de Amenazas del mes de mayo de 2025, que refleja el crecimiento continuo de campañas de malware sofisticadas y en múltiples fases, con SafePay emergiendo como una amenaza destacada de ransomware.
SafePay es un grupo de ransomware detectado por primera vez en noviembre de 2024, con indicios que sugieren una posible afiliación rusa. Opera bajo un modelo de doble extorsión: cifra los archivos de las víctimas mientras exfiltra datos sensibles para aumentar la presión del pago.
La segunda amenaza más prevalente a nivel mundial es Qilin, también conocido como Agenda, una operación criminal de ransomware como servicio (RaaS) que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo luego un rescate. Habitualmente infiltra a sus víctimas mediante correos de phishing con enlaces maliciosos. Le sigue Play Ransomware, también conocido como PlayCrypt, que apareció por primera vez en junio de 2022. Ha atacado un amplio espectro de empresas e infraestructuras críticas en América del Norte, del Sur y Europa, y suele acceder a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches.
Las principales familias de malware en España en mayo fueron FakeUpdates, un downloader hecho en JavaScript que ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult, y que ha impactado en el 8,8% de las empresas en España; Remcos, un RAT que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y ha impactado en un 3,2% de los negocios en España; y Androxgh0st, un botnet que afecta a plataformas Windows, Mac y Linux, que roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. y que ha impactado al 2,8% de las compañías españolas.
Por su parte, los tres malware móviles más usados en mayo fueron Anubis, que se distribuye principalmente a través de aplicaciones maliciosas en Google Play Store e incluye capacidades de acceso remoto; seguido de AhMyth y Necro.
Golpe a Lumma
En mayo, Europol, el FBI, Microsoft y otros socios lanzaron una operación importante dirigida contra Lumma, una destacada plataforma de malware como servicio. Esta acción ha permitido la incautación de miles de dominios, interrumpiendo significativamente la operación. Sin embargo, se afirma que los servidores principales de Lumma, ubicados en Rusia, permanecieron operativos, y sus desarrolladores restauraron rápidamente la infraestructura. Aunque la interrupción técnica fue considerable, los datos relacionados con Lumma continúan circulando, lo que genera preocupación sobre el impacto a largo plazo de la operación.
"Los datos del Índice Global de Amenazas de mayo subrayan la creciente sofisticación de las tácticas cibercriminales. Con el ascenso de grupos como SafePay y la persistente amenaza de FakeUpdates, las compañías deben adoptar medidas de seguridad proactivas y de múltiples capas", ha explicado Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software. "A medida que aumentan las ciberamenazas, es fundamental anticiparse a la evolución de los ataques con información sobre riesgos en tiempo real y defensas sólidas".
