Se ha observado que los actores de amenazas detrás del esquema de ransomware como servicio (RaaS) RansomHub aprovechan las fallas de seguridad ahora parcheadas en Microsoft Active Directory y el protocolo Netlogon para escalar privilegios y obtener acceso no autorizado al controlador de dominio de la red de una víctima como parte de su estrategia posterior al ataque. 

La firma japonesa de ropa deportiva Mizuno ha confirmado que ha sido víctima de un ataque de ransomware y algunos de sus datos han sido obtenidos por los ciberdelincuentes. Así lo ha señalado la filial estadounidense de la compañía nipona en un documento enviado a los reguladores de Maine (EE.UU.) y firmado por el director senior de Distribución y Fabricación, Steve Burden. 

En funcionamiento desde 2020, la banda de ransomware Makop está clasificada como una banda de ransomware de nivel B. A pesar de su baja clasificación, esta amenaza ha atacado con éxito a empresas de Europa e Italia con su arsenal híbrido de herramientas de software desarrolladas a medida y comerciales.

Los ataques de ransomware han alcanzado un nuevo nivel y ya aprovechan tácticas sofisticadas para conseguir acceder a tu ordenador. Si eres usuario de Microsoft Teams presta atención, puesto que un nuevo ataque podría poner en riesgo tus datos y los de otras personas conectadas a tu red.

En la actualidad, las variantes del ransomware Babuk están dirigiéndose específicamente a servidores ESXi, evolucionando para evadir las herramientas de seguridad más avanzadas. Estas amenazas se intensifican debido a la creciente disponibilidad de accesos iniciales en mercados clandestinos, donde ciberdelincuentes monetizan vulnerabilidades vendiendo acceso a actores malintencionados, incluidos grupos especializados en ransomware.

El ransomware Fog surgió en abril de 2024 con operaciones dirigidas a sistemas Windows y Linux. Fog es una operación de extorsión de múltiples frentes que aprovecha un Dedicated Leak Sites (DLS). basado en TOR para enumerar a las víctimas y alojar datos de quienes se niegan a cumplir con sus demandas de rescate.

 Trinity asegura haber robado 560 GB de datos de la Agencia Tributaria (AEAT) española, así como haber secuestrado parte de sus sistemas, cifrado de datos y habrían pedido un rescate por ello.

 "No tenemos internet, no podemos acceder a ningún documento almacenado en red, nos tenemos que traer nuestro propio ordenador y conectarnos al 5G del móvil. Por no poder, no podemos ni imprimir. Trabajar así es imposible". Esta es la situación que viven desde hace dos semanas los más de 650 empleados del mayor organismo público de investigación agraria y alimentaria del país, el INIA (Instituto Nacional de Investigación y Tecnología Agraria y Alimentaria), adscrito al Consejo Superior de Investigaciones Científicas (CSIC) y dependiente del Ministerio de Ciencia, Tecnología e Innovación.

Investigadores en ciberseguridad han identificado una variante para Linux de un ransomware relativamente nuevo llamado Helldown, lo cual indica que los ciberdelincuentes están diversificando sus métodos de ataque. Según un informe de Sekoia  Helldown utiliza un ransomware para Windows basado en el código de LockBit 3.0. Este desarrollo reciente apunta a que el grupo podría estar ajustando sus tácticas para atacar infraestructuras virtualizadas mediante VMware, aprovechando vulnerabilidades en sistemas ESX.

 Los investigadores de ESET han descubierto nuevas herramientas basadas en Rust que conducen al despliegue del ransomware Embargo, un actor relativamente nuevo, observado por primera vez por ESET en junio de 2024. El nuevo kit de herramientas consiste en un loader y un killer EDR, llamados MDeployer y MS4Killer respectivamente por ESET. MS4Killer es particularmente notable, ya que se compila a medida para el entorno de cada víctima, apuntando sólo a soluciones de seguridad seleccionadas. Ambas herramientas están escritas en Rust, el lenguaje elegido por el grupo Embargo para desarrollar su ransomware.

 La Guardia Civil ha detenido en el aeropuerto de Madrid-Barajas a uno de los principales encargados de la infraestructura de Lockbit, el programa malicioso creado supuestamente en Rusia y responsable de ciberataques en más de 120 países a 2.500 empresas, personas e instituciones.

Los actores de amenazas vinculados al grupo de ransomware RansomHub han cifrado y exfiltrado datos de al menos 210 víctimas desde su inicio en febrero de 2024.

Como indica el portal TechSpot en una reciente publicación, en las últimas semanas ha ganado popularidad un ransomware conocido como "Hazard" que invade tu equipo y roba tu información privada. De esta forma, una vez encriptan tus archivos importantes, los estafadores exigen un pago para desbloquear los mismos. ¿El problema? Además del chantaje y el fraude, parece ser que los creadores desarrollaron un virus poco efectivo que, por desgracia, sigue bloqueando los archivos incluso después de recibir el pago.

 El Informe de Radar de Ransomware, Rapid7 Labs compartió la observación de que en la primera mitad de 2024, surgieron 21 grupos de ransomware nuevos o renombrados.

CISA ha agregado una vulnerabilidad crítica de Jenkins que puede explotarse para obtener la ejecución remota de código en Jenkins, advirtiendo que se está explotando activamente en ataques.

Una empresa de Fortune 50 pagó un rescate récord de 75 millones de dólares a la banda de ransomware Dark Angels, según un informe de Zscaler ThreatLabz.

Varios grupos de ransomware han explotado activamente una falla de seguridad recientemente corregida que afecta a los hipervisores VMware ESXi para obtener permisos elevados e implementar malware y ransomware.

En junio de 2024, se descubrió un grupo de amenazas que utilizaba el ransomware Akira dirigido a una aerolínea latinoamericana. El actor de amenazas accedió inicialmente a la red a través del protocolo Secure Shell (SSH) y logró extraer datos críticos antes de implementar una variante del ransomware Akira al día siguiente.

HardBit 4 es un Ransomware de última generación detectado por los investigadores de seguridad de cybereason. Destaca por sus técnicas de ofuscación para evitar ser detectado y su motivación operacional, exclusivamente económica.

En marzo surgió un nuevo ransomware como servicio (RaaS) llamado Eldorado y viene con variantes de cifradores para VMware ESXi y Windows. Esta pandilla ya se ha cobrado 16 víctimas, la mayoría de ellas en Estados Unidos, en los sectores inmobiliario, educativo, sanitario y manufacturero.