El grupo de ransomware RansomHub es la operación de ransomware más activa de 2024

El grupo de ransomware RansomHub ha atacado a más de 600 organizaciones en todo el mundo, convirtiéndose en la operación de ransomware más activa de 2024, según Group-IB. La banda explota vulnerabilidades previamente corregidas en Microsoft Active Directory y Netlogon para obtener acceso a controladores de dominio y propagarse en redes.

RansomHub surgió en febrero de 2024 tras adquirir el código fuente del desaparecido grupo de ransomware Knight. Desde entonces, ha ampliado sus capacidades, ofreciendo variantes capaces de cifrar sistemas Windows, VMware ESXi y servidores SFTP. Además, ha reclutado afiliados de LockBit y BlackCat para fortalecer su operación.

En un ataque reciente, RansomHub realizó un ataque de fuerza bruta contra una VPN, usando un diccionario con 5,000 credenciales, antes de explotar vulnerabilidades en Active Directory y Netlogon. Los datos fueron cifrados y exfiltrados en menos de 24 horas.

El panorama del ransomware está evolucionando hacia ataques basados en extorsión, donde grupos como RansomHub y Akira obtienen ganancias vendiendo datos robados en lugar de solo cifrarlos, ya que las víctimas se niegan cada vez más a pagar los rescates.

El ransomware NailaoLocker apunta a la sanidad europea en ataques de ciberespionaje

Una nueva variante de ransomware, NailaoLocker, ha sido detectada atacando a organizaciones sanitarias europeas entre junio y octubre de 2024. Los atacantes explotaron la vulnerabilidad CVE-2024-24919 en Check Point Security Gateway para violar redes y desplegar los malware ShadowPad y PlugX, vinculados a grupos de hackers patrocinados por el Estado chino.

Principales hallazgos:

• NailaoLocker es un ransomware básico sin capacidades de evasión de sandbox o anti-depuración.
• Utiliza AES-256-CTR para cifrar archivos, agregando la extensión “.locked”.
• Deja una nota de rescate con un nombre de archivo inusualmente largo, instruyendo a las víctimas a contactar una dirección de ProtonMail.
• No hay evidencia de exfiltración de datos, algo poco común en los ataques de ransomware modernos.

Los investigadores de seguridad sospechan que estos ataques podrían ser una operación de falsa bandera, un robo de datos estratégico o piratas informáticos patrocinados por el Estado buscando ganancias económicas.

Variante de Snake Keylogger ataca a usuarios de Windows con técnicas avanzadas de evasión

Una nueva variante del Snake Keylogger (Autolt/Injector.GTY!tr) representa una amenaza significativa para los usuarios de Windows, utilizando técnicas avanzadas de evasión para robar datos sensibles en navegadores Chrome, Edge y Firefox.

Desde enero de 2025, FortiGuard Labs ha bloqueado más de 280 millones de intentos de infección, con los ataques más concentrados en China, Turquía, Indonesia, Taiwán y España. El malware se propaga a través de correos electrónicos de phishing, usando AutoIt scripting y process hollowing para evadir la detección.

Una vez activo, captura pulsaciones de teclas, datos de autocompletado del navegador y contenido del portapapeles, exfiltrando la información robada mediante SMTP y bots de Telegram. Los atacantes también usan checkip.dyndns.org para localizar geográficamente a sus víctimas.

Recomendaciones de seguridad:

• Implementar sandboxing avanzado para analizar scripts y binarios.
• Bloquear conexiones a servidores C2 conocidos.
• Capacitar a empleados sobre los riesgos del phishing.

A medida que Snake Keylogger evoluciona, las organizaciones deben reforzar sus defensas con inteligencia artificial y ciberseguridad basada en amenazas.

Ataques de ransomware golpean al principal impresor de libros y a una agencia literaria en el Reino Unido

Dos importantes empresas del sector editorial en el Reino Unido, CPI Books y The Agency, han sido víctimas de ataques de ransomware, afectando significativamente sus operaciones y finanzas.

CPI Books, la mayor imprenta de libros del Reino Unido, sufrió un ataque el 7 de febrero, deshabilitando sus sistemas de TI y deteniendo la producción en nueve fábricas. La editorial independiente Firefly Press reportó pérdidas sustanciales, viéndose obligada a recurrir a proveedores alternativos. CPI trabaja con especialistas en ciberseguridad para restaurar sus servicios.

The Agency, una prestigiosa agencia literaria, fue atacada por el grupo de ransomware Rhysida, el mismo que comprometió a la British Library. Los hackers han amenazado con filtrar datos robados si no se paga un rescate.

Estos ataques resaltan la creciente amenaza cibernética para la industria editorial y de medios. La British Library ya gastó 6 millones de libras en su recuperación tras un ataque de Rhysida en 2023.

Ciberataque interrumpe las operaciones del mayor proveedor de vivienda en Irlanda del Norte

Choice Housing, uno de los mayores proveedores de vivienda social en Irlanda del Norte, sufrió un ciberataque a principios de mes, causando graves interrupciones en sus sistemas de TI y retrasos en la atención a los inquilinos.

El ataque, presuntamente originado en un correo electrónico malicioso, obligó al personal a trabajar durante el fin de semana para contener los daños. Choice, que gestiona más de 10,000 viviendas sociales y 4,700 propiedades en Belfast, apagó sus sistemas por precaución, aunque no se cree que los datos hayan sido comprometidos.

Acciones tomadas:

• Ejecución de un plan de recuperación de TI para restaurar operaciones lo antes posible.
• Alerta al personal sobre posibles amenazas adicionales.
• Revisión completa del incidente en curso.

El sector inmobiliario es un objetivo creciente para los ciberdelincuentes: un informe de 2024 de RSM UK indica que una de cada cuatro asociaciones de vivienda en el Reino Unido ha sido atacada en el último año.

Jamaica se convierte en el principal objetivo de ciberataques en América Latina y el Caribe

Jamaica se ha convertido en el país más atacado por ciberdelincuentes en América Latina y el Caribe, según Mervyn Eyre, CEO de Fujitsu Caribbean. Con una alta tasa de ataques y baja preparación, las organizaciones jamaicanas enfrentan 2,582 ataques por semana, muy por encima del promedio mundial.

Ataques recientes incluyen un ransomware contra Biomedical Caledonia Medical Lab, con más de 70,000 archivos robados y publicados en la dark web. Otros objetivos incluyen una empresa cotizada en la Bolsa de Jamaica y una concesionaria de automóviles que tuvo que cerrar temporalmente.

Los ciberdelincuentes también usan datos robados para fraudes, con informes de llamadas de phishing y mensajes maliciosos. A pesar de la amenaza, las empresas están aumentando la inversión en ciberseguridad.

La Ley de Protección de Datos de Jamaica, vigente desde diciembre de 2023, exige la notificación de violaciones en 72 horas, pero el cumplimiento sigue siendo inconsistente.

Insight Partners confirma ciberataque

La firma de capital de riesgo con sede en Nueva York, Insight Partners, ha confirmado que sufrió un ciberataque en enero de 2025. En un comunicado el 18 de febrero, la empresa reveló que un actor no autorizado accedió a partes de sus sistemas a través de un sofisticado ataque de ingeniería social.

El ataque se detectó el 16 de enero, lo que llevó a la compañía a contener y remediar la brecha de inmediato. Insight Partners aseguró que sus operaciones y fondos no se vieron comprometidos, y que no hay evidencia de acceso continuo por parte del atacante.

La empresa informó del incidente a las autoridades y notificó a sus socios y empresas en cartera, incluidas Armis, SentinelOne y Wiz. Actualmente, está trabajando con expertos en ciberseguridad y analistas forenses para evaluar la magnitud de la violación.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.