En una impactante traición a la confianza de la industria, dos antiguos profesionales de la ciberseguridad se han declarado culpables de cargos federales por lanzar ataques de ransomware contra empresas estadounidenses. La pareja, cuyo trabajo diario implicaba ayudar a las empresas a responder a los hackeos y negociar rescates, admitió haber trabajado como ciberdelincuentes a escondidas en un plan para extorsionar millones de dólares a las víctimas. 

El ransomware Crypto24 está atacando a organizaciones en América Latina, Asia, Europa y EE.UU., especialmente en sectores como servicios financieros, manufactura y tecnología, utilizando herramientas legítimas y malware personalizado para evadir la detección de EDR. Emplea una estrategia de doble extorsión (cifrado de datos y amenaza de exposición) y se mantiene persistente mediante la creación de cuentas privilegiadas y tareas programadas. Utiliza herramientas como PSExec, AnyDesk y una versión personalizada de RealBlindingEDR para el movimiento lateral y la evasión de defensas, con una notable capacidad para integrarse en operaciones normales de TI y atacar durante las horas de menor actividad. Se recomienda auditar cuentas privilegiadas, limitar el uso de RDP, mantener actualizado el EDR y realizar copias de seguridad periódicas.

Una coalición de agencias de ciberseguridad de EE. UU. e internacionales emitió una severa advertencia esta semana sobre hacktivistas pro-rusos que explotan conexiones Virtual Network Computing (VNC) expuestas para infiltrarse en sistemas de tecnología operativa (OT) en infraestructuras críticas. El aviso conjunto, publicado el 9 de diciembre de 2025, destaca a grupos como Cyber Army of Russia Reborn (CARR), Z-Pentest, NoName057(16) y Sector16 que atacan a sistemas

Un grupo patrocinado por el estado ruso ha estado atacando dispositivos de borde de red en infraestructuras críticas occidentales desde 2021, con operaciones que se intensificaron a lo largo de 2025. La campaña, vinculada a la Dirección Principal de Inteligencia de Rusia (GRU) y al notorio grupo Sandworm, representa un cambio importante en las tácticas. En lugar de centrarse en la explotación de vulnerabilidades de día cero, los hackers ahora atacan dispositivos mal configurados

Grupos de ransomware utilizan el servicio HeartCrypt para evadir la detección de EDR mediante la descarga de herramientas como AVKiller, empaquetadas y firmadas con certificados comprometidos, aprovechando una vulnerabilidad en la validación de controladores de Windows. Se ha detectado su uso en ataques de ransomware como Blacksuit, Medusa y RansomHub, evidenciando un posible intercambio de herramientas y conocimiento técnico entre estos grupos, lo que supone una amenaza creciente para la seguridad.