Un nuevo grupo de ransomware denominado Vect 2.0 ha surgido en el panorama global de ciberamenazas, operando como una plataforma completa de Ransomware-as-a-Service (RaaS) que ataca sistemas Windows, Linux y VMware ESXi. El grupo apareció por primera vez en diciembre de 2025 y escaló rápidamente su actividad hasta febrero de 2026, reportando al menos 20 víctimas en diversos países e industrias críticas.

Una nueva cepa de ransomware identificada como “Payload” ha surgido como una grave amenaza para organizaciones de múltiples sectores, combinando técnicas de cifrado robustas con capacidades antiforenses avanzadas. El grupo detrás de este malware ha estado activo desde al menos el 17 de febrero de 2026 —el mismo día en que se compiló su binario para Windows— 

Están explotando instancias de VMware ESXi en ataques activos utilizando un conjunto de herramientas de exploits de día cero que encadenan múltiples vulnerabilidades para escapes de máquinas virtuales. La empresa de ciberseguridad Huntress interrumpió uno de estos ataques, atribuyendo el acceso inicial a una VPN de SonicWall comprometida. Los actores de amenazas obtuvieron una posición inicial a través de la VPN de SonicWall, y luego usaron una cuenta de Administrador de Dominio comprometida para el movimiento lateral

Trend Research ha identificado y analizado los binarios fuente de la nueva versión 5 de LockBit, lo que representa el último avance del grupo tras la operación policial de febrero de 2024 (Operación Cronos) que interrumpió su infraestructura. A principios de septiembre, el grupo de ransomware LockBit reapareció con motivo de su sexto aniversario, anunciando el lanzamiento de "LockBit 5.0". 

Recientemente, el equipo de WithSecure descubrió una sofisticada campaña de malware en la que el administrador de contraseñas de código abierto KeePass fue troyanizado para distribuir cargas útiles de Cobalt Strike y exfiltrar credenciales confidenciales.

En la actualidad, las variantes del ransomware Babuk están dirigiéndose específicamente a servidores ESXi, evolucionando para evadir las herramientas de seguridad más avanzadas. Estas amenazas se intensifican debido a la creciente disponibilidad de accesos iniciales en mercados clandestinos, donde ciberdelincuentes monetizan vulnerabilidades vendiendo acceso a actores malintencionados, incluidos grupos especializados en ransomware.

Varios grupos de ransomware han explotado activamente una falla de seguridad recientemente corregida que afecta a los hipervisores VMware ESXi para obtener permisos elevados e implementar malware y ransomware.

En marzo surgió un nuevo ransomware como servicio (RaaS) llamado Eldorado y viene con variantes de cifradores para VMware ESXi y Windows. Esta pandilla ya se ha cobrado 16 víctimas, la mayoría de ellas en Estados Unidos, en los sectores inmobiliario, educativo, sanitario y manufacturero.

Según muestran nuevos hallazgos, los ataques de ransomware dirigidos a la infraestructura VMware ESXi siguen un patrón establecido, independientemente del malware de cifrado de archivos implementado

El proveedor chileno de hosting IxMetro Powerhost sufrió un ciberataque a manos de una nueva banda de ransomware conocida como SEXi, que cifró los servidores y copias de seguridad VMware ESXi de la compañía.

VMware ha lanzado parches para abordar cuatro fallas de seguridad que afectan a ESXi, Workstation y Fusion, incluidas dos fallas críticas que podrían provocar la ejecución de código.

Broadcom la lia con sus clientes de VMware después de su adquisición por 61 mil millones de dólares. Con cada cambio de propiedad de una empresa, hay efectos positivos y negativos dependiendo de la situación.

A medida que las empresas cambian de servidores individuales a máquinas virtuales para una mejor gestión de recursos, rendimiento y recuperación ante desastres, las pandillas de ransomware crean ransomware enfocados en esa plataforma. La operación Abyss Locker es la última en desarrollar un cifrador de Linux para apuntar a la plataforma de máquinas virtuales ESXi de VMware en ataques a la empresa.

El grupo de ciberdelincuentes UNC3886, patrocinado por China, está llevando a cabo ataques activos utilizando una vulnerabilidad Zero-day en los hosts de VMware ESXi. El objetivo de estos ataques es infiltrar puertas traseras en sistemas operativos Windows y Linux.

Según un análisis realizado por Trend Micro, "los servidores Linux están cada vez más bajo el fuego de los ataques de ransomware", con un aumento del 75% en las detecciones en el transcurso del último año, ya que los ciberdelincuentes buscan expandir sus ataques más allá de los sistemas operativos Windows. 

Un proyecto bastante loco, pero posible, como es virtualizar con un Raspberry Pi 4. Recomendamos usar una Raspberry pi 4 de 4GB o mejor 8 gigas de ram, Seguramente no sea muy práctico, ni sobre todo rápido, pero factible ya que VMWare tiene paquetes ARM nativos para el procesador de la RaspBerry, además de poder usar un cargador UEFI para instalarlo todo. Sobre el rendimiento una vez todo instalado, mejor no hablar.