¿Qué pasa cuando el grupo de ransomware más temido del mundo es desmantelado? Aparecen otros más agresivos a ocupar su lugar.
Así fue 2024. LockBit, que dominó el panorama en 2023, fue debilitado por una operación internacional liderada por el FBI. ¿El resultado? Un cambio de poder en la cibercriminalidad global: nuevos actores, nuevas tácticas, más impacto.
Pregunta incómoda: ¿Tienes visibilidad sobre estos cambios?
Según el Annual Threat Hunting Report 2024 de SentinelOne, estos fueron los 10 grupos más activos por volumen de detecciones reales:
Akira
Play
Blacksuit
Phobos/8Base
MedusaLocker
INC
Black Basta
Vice Society
LockBit
BlackCat/ALPHV
Akira no solo lidera en frecuencia, sino también en agresividad y demandas de rescate. Un grupo que no existía hace dos años, ahora encabeza la lista.
📈 Abril y junio fueron los meses con más incidentes.
📉 Febrero y agosto, los más bajos.
📌 Pero cada mes tuvo actividad. No hay ventanas seguras.
Tu equipo puede estar de vacaciones. Ellos no.
El gráfico muestra la actividad mensual de los 10 grupos de ransomware más activos, destacando patrones estacionales y variaciones tras operaciones policiales (como la caída de BlackCat/ALPHV).
Fuente: SentinelOne, Annual Threat Hunting Report 2024.
En el Ransomware Risk Matrix 2024, se cruzan dos variables críticas: frecuencia de ataques y beneficio medio por extorsión. El resultado es un mapa de riesgo realista que ayuda a priorizar defensas.
| Grupo | Frecuencia (Prevalencia) | Demandas ($ Promedio) | Nivel de riesgo |
|---|---|---|---|
| Akira | Muy alta | Alta | 🚨 Muy alto |
| Play | Alta | Media-alta | ⚠️ Alto |
| BlackBasta | Media | Muy alta | ⚠️ Alto |
| BlackSuit | Alta | Media | ⚠️ Medio-alto |
| Vice Society | Media | Alta | ⚠️ Medio-alto |
| INC | Media | Media | 🟡 Medio |
| MedusaLocker | Media-alta | Baja | 🟡 Medio |
| Phobos | Alta | Baja | 🟠 Medio-bajo |
| LockBit | Media | Alta | ⚠️ Medio-alto |
| BlackCat/ALPHV | Media | Muy alta | ⚠️ Alto |
Los niveles de riesgo se evalúan por el impacto combinado de cuántas empresas atacan y cuánto exigen por liberar los datos.
Lo que ayer era LockBit, hoy es Akira. Y mañana será otro. Lo que no cambia es la necesidad de estar informado y cubierto.
¿Cuál es el grupo de ransomware más peligroso actualmente?
Akira, por su combinación de frecuencia y rentabilidad.
¿Existen meses más seguros para operar?
No. Hay estacionalidad, pero los ataques no cesan en ningún mes.
¿Sigue activo LockBit?
Sí, pero reducido a nivel medio tras su desmantelamiento.
¿Se pueden prevenir estos ataques?
No todos, pero sí detectar rápido y mitigar el impacto si tienes visibilidad y respuesta gestionada.
En Ingens Networks llevamos más de 25 años ayudando a empresas a dormir tranquilas. No vendemos milagros. Lo que entregamos es lo que más se valora cuando todo falla: visibilidad real, respuesta inmediata y una estrategia que evoluciona al ritmo de las amenazas.
Combinamos la potencia de SonicWall para la detección perimetral con la inteligencia de Capture Client, impulsado por SentinelOne, para una defensa activa desde el endpoint. Un enfoque coordinado que permite ver, entender y actuar antes de que el daño sea irreversible.
Si todo esto te hace pensar en revisar tu postura de seguridad, probablemente ya sea hora.
Fuente: SentinelOne, Annual Threat Hunting Report 2024.