Barracuda full logo

Principales actores de amenazas de agosto: ransomware, espionaje y ladrones de información

Temas:
5 sept 2025
|
Christine Barry

A lo largo del año hemos observado ataques de ransomware, exfiltración de datos y espionaje furtivo patrocinado por el estado. Estas son algunas de las amenazas más significativas que surgieron en agosto de 2025.

Grupo de ransomware Qilin (también conocido como “Agenda”)

Qilin es una operación de ransomware como servicio (RaaS) que perfilamos en julio. Este actor de amenazas de Europa del Este se ha convertido en uno de los grupos de ransomware más activos y dañinos del mundo. Observado por primera vez como “Agenda” a mediados de 2022, fue renombrado como Qilin en septiembre de 2022. El grupo trabaja con afiliados que despliegan su ransomware en las redes de las víctimas; a cambio, los administradores de Qilin mantienen los sitios de filtración de datos y gestionan las negociaciones, los pagos y los acuerdos de reparto de beneficios. Según la inteligencia de amenazas de FalconFeeds, la actividad de Qilin en 2025 alcanzó su pico en junio y consiguió 93 víctimas durante el mes de agosto. La investigación de agosto de Comparitech difiere ligeramente, atribuyendo solo 86 ataques al grupo.

La carga útil del ransomware Qilin puede cifrar tanto sistemas Windows como Linux/VMware ESXi, lo que permite a Qilin apuntar a una amplia gama de activos empresariales. Durante la ejecución, elimina copias de seguridad/copias sombra, cifra los archivos objetivo y renombra los archivos cifrados con una extensión como .qilin. El ransomware exfiltra datos sensibles antes del cifrado, y el grupo amenaza con publicarlos si no se cumplen las demandas de rescate.

Qilin sigue atacando sectores de alto valor como el salud, automoción y manufacturero. Su sistema RaaS y herramientas de ataque están evolucionando, y el grupo está ganando impulso de cara a septiembre.

Defensas clave contra ataques al estilo Qilin:

  • Segmente las redes de TI y OT para aislar los sistemas de control industrial de los activos expuestos a Internet. Considere utilizar el Modelo Purdue como guía.
  • Supervise patrones inusuales de exfiltración de datos y grandes transferencias salientes: Qilin a menudo roba datos antes del cifrado.
  • Desactive PowerShell y las herramientas de scripting cuando sea posible. Asegúrese de que las utilidades y herramientas del sistema que están en uso sean visibles y estén estrictamente controladas.
  • Utilice honeypots y otras tácticas de defensa para detectar movimientos laterales y actividades de preparación de ransomware.

Grupo de ransomware Akira

El grupo Akira RaaS es una de las operaciones de ransomware más activas a lo largo de su vida útil, situándose constantemente entre los 3-5 principales actores de amenazas por el número de víctimas. Lo que distingue a Akira es la combinación de su alto ritmo operativo – atacando a cientos de organizaciones en un corto período – y cifrando sus elevadas demandas de rescate en decenas o incluso cientos de millones de dólares (EE. UU.). La marca Akira es reconocida por su sitio de fugas de estilo retro y la extensión de archivo “.akira” dejada en los archivos cifrados.

Los ataques de Akira a menudo comienzan explotando vulnerabilidades conocidas en VPNs u otras aplicaciones expuestas al público, especialmente si no se aplica la autenticación multifactor (MFA). Akira también utiliza correos electrónicos de phishing con archivos adjuntos o enlaces maliciosos para desplegar cargadores de malware en las redes de las víctimas. Una vez dentro de una red, Akira sigue una cadena de ataque típica de doble extorsión. A diferencia de algunos grupos criminales, Akira no hace excepciones entre instituciones médicas, agencias gubernamentales o distritos escolares. El grupo afirmó haberse cobrado 60 víctimas en agosto.

Akira fue una amenaza significativa para los proveedores de servicios gestionados en agosto y continúa mejorando sus herramientas y métodos de ataque. El grupo sigue siendo significativo en septiembre debido a su uso de exploits y oportunidades creadas por sistemas sin parches y desactualizados. Akira mantuvo aproximadamente el 19% de la 'cuota de mercado del ransomware' en el segundo trimestre de 2025.

Defensas clave contra ataques de estilo Akira:

Grupo Lazarus

El Grupo Lazarus, también conocido como APT38, Hidden Cobra y otros alias, se cree que opera dentro del gobierno de la República Popular Democrática de Corea (RPDC), comúnmente conocida como Corea del Norte. El grupo es conocido por el hackeo a Sony Pictures en 2014 y la campaña de ransomware WannaCry en 2017. Durante más de una década, Lazarus ha atacado sistemas bancarios, redes gubernamentales e intercambios de criptomonedas en todo el mundo, utilizando malware avanzado y tácticas de ingeniería social tanto para obtener ganancias financieras como para objetivos políticos. El grupo ha robado más dinero a través de ciberataques que cualquier otro actor de amenazas en la historia, gracias en parte a los miles de millones robados del intercambio Bybit y del Banco de Bangladesh.

En agosto de 2025, Lazarus Group lanzó PyLangGhost, un troyano de acceso remoto (RAT) basado en Python que los atacantes utilizan en falsas entrevistas de trabajo o llamadas de negocios. El malware presenta mensajes de error engañosos que inducen a las víctimas a ejecutar scripts y código malicioso. Cuando tiene éxito, estos ataques otorgan privilegios de acceso remoto a los atacantes. El malware PyLangGhost incluye módulos para reconocimiento, operaciones de archivos y varios otros pasos en la cadena de ataque. Este nuevo malware es otra demostración de la sofisticación técnica y agilidad de Lazarus Group.

Lazarus ha cambiado a ataques furtivos de la cadena de suministro de software y envenenamiento de código abierto. Sus objetivos incluyen desarrolladores, canalizaciones de CI/CD y empresas de criptomonedas.

Defensas clave contra los ataques del Grupo Lazarus:

Ladrones Lumma y Redline

Nuestras dos últimas amenazas se combinan porque son muy similares. Lumma y RedLine son, con mucho, las familias de infostealer más activas en 2025. El malware infostealer está diseñado para infiltrarse en un sistema, identificar y recopilar información sensible y transmitir esos datos a un servidor controlado por un atacante. Esto los convierte en la herramienta ideal para que los brokers de acceso inicial (IABs) roben y vendan credenciales a grupos de ransomware y otros actores de amenazas.

Según Hudson Rock Infostealer Intelligence, el conteo de infecciones por infostealer en agosto supera los 289,000. Esto representa un aumento del 13% con respecto al mes anterior. Otra investigación muestra que aproximadamente un tercio de todas las víctimas de ransomware han descubierto al menos una infección por infostealer dentro de las 16 semanas anteriores al ataque.  

La mayoría de los infostealers están vinculados a grupos de ransomware y ecosistemas de cibercriminales, pero algunos actores estatales han agregado recientemente infostealers a su arsenal. La investigación de Hudson Rock ha descubierto "una ola global de cuentas de correo electrónico del Ministerio de Asuntos Exteriores (MOFA) comprometidas" vinculadas a infostealers y credenciales robadas.

La investigación detalló estas víctimas y el impacto de los ataques :

  • Arabia Saudita (mofa.gov.sa): Credenciales vinculadas al MFA del Reino, vulnerables a un mal uso en la diplomacia de Oriente Medio.
  • Corea del Sur (mail.mofa.go.kr): Las infecciones afectan los sistemas de asuntos exteriores de Seúl, arriesgando la exposición de las negociaciones del Indo-Pacífico.
  • Emiratos Árabes Unidos (mofa.gov.ae): Brechas en el Ministerio de Asuntos Exteriores de Abu Dabi, un actor clave en la diplomacia del Golfo.
  • Catar (mofa.gov.qa): Cuentas comprometidas en Doha, críticas para mediar en conflictos como Gaza.
  • Otros: Las detecciones abarcan MFAs en Europa, Asia, África y las Américas, mostrando una amenaza generalizada.

Con estos grupos de estados nacionales adoptando estas técnicas, los infostealers están siendo elevados de un ataque común de acceso inicial a un arma geopolítica.

Defensas clave contra ladrones de información como Lumma y Redline:

  • Hacer cumplir aislamiento del navegador para usuarios de alto riesgo o aquellos que manejan los datos más sensibles. Esto evitará el robo de cookies/sesiones.  
  • Bloquear el acceso a la infraestructura de C2 conocida por el stealer y a los dominios que terminan en .top, .xyz y .ru. Estos son utilizados por ambas familias, aunque Lumma se inclina más por .xyz que RedLine, y RedLine también utilizará .shop y .club. Estos dominios son populares porque son económicos y normalmente tienen controles de registro laxos.
  • Deshabilite el autocompletado y almacenamiento de credenciales en los navegadores y haga cumplir el uso de un gestor de contraseñas con políticas de autenticación multifactor (MFA) fuertes.
  • Implemente detección de comportamientos para patrones de acceso a archivos inusuales como "datos de inicio de sesión" y "datos web".

Barracuda puede ayudarle

Permítanos ayudarle a maximizar su protección y ciberresiliencia con la plataforma de ciberseguridad impulsada por IA de BarracudaONE. La plataforma protege su correo electrónico, datos, aplicaciones y redes, y se fortalece con un servicio XDR gestionado 24 horas al día, 7 días a la semana, unificando sus defensas de seguridad y proporcionando una detección y respuesta de amenazas profunda e inteligente. Gestione la postura de seguridad de su organización con confianza, aprovechando la protección avanzada, el análisis en tiempo real y las capacidades de respuesta proactiva. Las herramientas de informes robustas proporcionan información clara y procesable, ayudándole a monitorear riesgos, medir el ROI y demostrar el impacto operativo. No pierda la oportunidad de obtener una demo de la plataforma por parte de nuestros expertos en ciberseguridad. 

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Threat Spotlight: Desempaquetando un nuevo kit de phishing sigiloso que apunta a Microsoft 365
Threat Spotlight: Desempaquetando un nuevo kit de phishing sigiloso que apunta a Microsoft 365
 Los cibercriminales son cada vez más jóvenes y más peligrosos.
Los cibercriminales son cada vez más jóvenes y más peligrosos.
Lazarus Group: Un sindicato criminal con una bandera
Lazarus Group: Un sindicato criminal con una bandera
 Resumen de malware: phishing astuto, BYOVD y RATs de Android
Resumen de malware: phishing astuto, BYOVD y RATs de Android
Busque en el blog

Informe de Barracuda sobre Ransomware 2025

Principales conclusiones sobre la experiencia y el impacto del ransomware en las organizaciones de todo el mundo

Obtener el informe

Suscríbase al blog de Barracuda.

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Seguridad de vulnerabilidades gestionada: corrección más rápida, menos riesgos, cumplimiento normativo más fácil 

Descubra lo fácil que es encontrar las vulnerabilidades que los ciberdelincuentes quieren explotar.

VER EL SEMINARIO WEB

Regístrese para recibir Threat Spotlight, comentarios de la industria y más.

Reciba en su bandeja de entrada todas las últimas noticias, estudios y análisis.