Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2025 S2 Grupo
Actualidad

Grupos de ransomware: cuáles son los más destacados en 2025

23 Jun 2025

Un vistazo al panorama actual de los grupos de ransomware revela que este es un momento de grandes transformaciones. Al declive de algunos de los grandes grupos de ransomware cómo Lockbit o BlackCat (ALPHV) ha seguido la aparición de bandas más pequeñas. Pero esto no es todo: existen nuevos modos de operar que también están transformando el panorama actual del ransomware.

Los grupos de ransomware siguen en expansión. En 2024, Secureworks identificó 31 nuevos operadores activos, y NTT registró un aumento del 67 % en incidentes de ransomware y extorsión entre 2022 y 2023. Además, se contabilizaron más de 5.000 víctimas a nivel global solo en 2024. Estas cifras confirman un panorama más activo que nunca.

¿Cuáles son los principales grupos de ransomware hoy y las tendencias que están dando forma al panorama actual en esta especialización del cibercrimen? Te contamos todo lo que necesitas saber.

Tendencias en los grupos de ransomware en 2025

  • Aumento del 76 % en los ataques entre enero y febrero de 2025 y caída del 68 % en marzo, aunque con un 4 % más de víctimas que en enero.

  • Cl0p marcó el ritmo del primer  trimestre de 2025 con un pico de actividad en febrero.

  • Emergencia de grupos como Lynx, Arcus Media y SafePay con ataques de gran alcance.

  • Asentamiento del modelo ransomware como servicio (RaaS), con operativas cada vez más profesionalizadas.

  • Se observa mayor diversificación de tácticas, técnicas y procedimientos (TTPs) y ampliación del espectro de los indicadores de compromiso (IOCs) relevantes.

  • Tendencia hacia infiltraciones más silenciosas, con exfiltración masiva y daño prolongado.

Informe actualizado Panorama de RaaS

Los grupos de ransomware más importantes de los últimos años

REvil ransomware

Disuelto en la actualidad y también conocido como Sodinokibi, REvil ransomware aparece por primera vez en 2019 y se convierte en uno de los grupos de ransomware más importantes hasta su desmantelamiento en 2022.

Su modo principal de actuación era a través de phishing o enlaces maliciosos, y se adscribía al modelo RaaS, teniendo origen en Rusia.

Puso el foco en sectores como la agricultura, la energía, servicios financieros, salud y manufactura, en países como Brasil, Chile, España, México o Estados Unidos, entre otros. Dos de sus principales ataques fueron el de la cadena de suministro Kaseya (con más de 1000 empresas afectadas en numerosos países y por el que pidieron $70 millones) y la multinacional tecnológica Acer.

En enero de 2022, 14 de sus miembros fueron detenidos y, aunque su infraestructura Tor reapareció brevemente, no se han registrado nuevas campañas desde entonces.

Darkside ransomware

Darkside ransomware fue el grupo al frente de uno de los ataques de ransomware más destructivos, el ocurrido a la empresa de oleoductos estadounidenses Colonial Pipeline en 2021. 

El grupo, que sigue el modelo RaaS, hace su primera aparición en agosto de 2020, teniendo impacto en más de 15 países e industrias de todo tipo, aunque han asegurado no tener entre sus objetivos a hospitales, entidades educativas, organizaciones sin fines de lucro o sector público.

Tras el ataque a Colonial, su actividad cesó y no se han registrado nuevas campañas bajo este nombre desde entonces.

Conti ransomware

Uno de los grandes grupos de ransomware que quedó disuelto en 2022, aunque se baraja que el nuevo grupo Royal haya nacido vinculado a él. 

Su último ataque a los organismos gubernamentales de Costa Rica fue un hecho sin precedentes. Con el foco puesto en redes de conexión corporativas, su método de propagación eran los troyanos y la propia red. A partir de ahí, Conti ransomware se ocupaba de escanear la red para encontrar información sensible para después cifrarla. Realizaban un ataque de ransomware particularmente ruidoso pero, implementado a menudo en horas fuera de trabajo, de modo que no era detectado. 

Maze ransomware

El grupo Maze ransomware fue descubierto por primera vez en mayo de 2019. Se distribuye a través de enlaces maliciosos, archivos adjuntos, ataques de fuerza bruta o kits de exploits, lo que les permite desplegar su software y cifrar los archivos deseados. 

Este grupo de ransomware se ocupa de publicar en su propia página web el listado de sus víctimas y partes de la información robada, amenazando con que el alcance del ataque sea mayor si no cobran el rescate. Sigue, además, un modelo de RaaS y red de afiliados, y llegaron a aliarse con los grupos de ransomware LockBit y Ragnar Locker en 2020. Ese mismo año el grupo anunció su disolución, aunque se han descubierto ataques que siguen su modus operandi en las nuevas variedades de ransomware Egregor y Sekhmet.

LockBit ransomware

Lockbit ransomware supone el grupo que más víctimas causó en 2023. Aunque tras una importante operación internacional fue desmantelado en febrero de 2024, el grupo intentó un regreso limitado durante el primer trimestre de ese año, manteniéndose entre los más activos de forma breve. Sin embargo, en 2025, puede considerarse inactivo tras el fracaso de sus esfuerzos por reorganizarse.

La relevancia de LockBit se consolidó tras la caída de Conti. En 2022, fue responsable del 34% de todos los ataques de ransomware registrados, un dato que ilustra su impacto histórico en el ecosistema del cibercrimen. Sin embargo, durante 2023 se barajaron varias escisiones, después de que se filtrara su constructor. Este movimiento implicó que ya se hayan detectado nuevas versiones personalizadas del programa empleado por LockBit ransomware. 

DoppelPaymer ransomware

El malware de DoppelPaymer lo sitúa entre uno de los grupos de ransomware más nocivos en 2023. DoppelPaymer es el grupo detrás del ataque a la petrolera mexicana Pemex y algunos de sus presuntos miembros han sido detenidos en Alemania y Ucrania, pero el grupo continúa activo en 2025, según los últimos registros.

Los equipos infectados con este tipo de software ven cómo el nombre de sus archivos ahora incluye la extensión ".locked", además de aparecer notas de rescate, dando un margen de 7 días para responder y pagar el rescate. 

BlackCat ransomware

El ransomware BlackCat (también conocido como ALPHV) fue advertido por primera vez en 2021 y era considerado como uno de los más sofisticados y difíciles de detectar por emplear un lenguaje y vías de ofuscación poco comunes hasta diciembre de 2023, cuando fue intervenido y desmantelado en una operación multinacional liderada por Estados Unidos. 

Este modelo de ransomware está siendo empleado por afiliados que en el pasado han tenido un enorme impacto, incluyendo algunos que desplegaron REvil o Conti, aunque hasta 2025 no se ha producido un regreso efectivo del grupo. De hecho, su colapso ha contribuido directamente al crecimiento de nuevas bandas como RansomHub, Akira o Hunters International, que han absorbido parte de su red y operativa.

8Base ransomware

Desde su surgimiento en marzo de 2022, 8Base se ha destacado en el mundo del ransomware, atrayendo la atención de expertos en seguridad cibernética debido a su creciente actividad, especialmente en 2023. Lo que diferencia a este grupo es su uso de varias variantes de ransomware, con Phobos como la más prominente, lo que le otorga flexibilidad y versatilidad en sus ataques. Es uno de los ransomware que provocaron mayor número de víctimas en el primer trimestre del 2024. 

Las nuevas apariciones: 

Akira

El ransomware Akira, descubierto a principios de 2023, se ha consolidado rápidamente como una amenaza importante en el panorama del cibercrimen. Dirigido principalmente a sistemas Windows y Linux, destaca por su uso de técnicas de cifrado simétrico avanzadas, empleando algoritmos como CryptGenRandom y Chacha 2008 para asegurar una encriptación eficiente de archivos. También se encuentra dentro del top 3 de grupos que más víctimas han cobrado en el T1 de 2025 gracias a su estrategia de cifrado híbrido y explotación de vulnerabilidades específicas.

Play 

El Ransomware Play fue detectado inicialmente en julio de 2022. Es un tipo de malware que minimiza las evidencias en el sistema para minimizar su detección, evitando por ejemplo la generación de comandos identificables por herramientas como Sysmon.

Según un informe del FBI, la banda de Ransomware Play ha comprometido aproximadamente a 300 organizaciones a nivel mundial, entre junio de 2022 y octubre de 2023. Se encontró como dentro del top 5 de familias de Ransomware que provocaron víctimas en el primer trimestre del 2024 y ha sido uno de los grupos más activos en abril de 2025 según Arete. 

Cl0p

Cl0p supone una variante del ransomware CryptoMix, aparecido por primera vez en 2019 y cuyo impacto ha crecido en los últimos años, con picos de hasta 335 víctimas en un solo mes en 2025, consolidándose así como el grupo con mayor número de víctimas. 

Se especializa en la explotación de vulnerabilidades zero-day en sistemas de transferencia de archivos (como MOVEit o Cleo), y en ataques sin cifrado orientados únicamente a la extorsión por sustracción de información.

Entre sus víctimas se hallan empresas dedicadas al retail, transporte y logística, educación, manufactura, telecomunicaciones o finanzas, entre otros. Destacan los ataques en el sector salud de los Estados Unidos, o la petrolera Shell. Además, este grupo de ransomware se encarga de publicar los datos exfiltrados en su sitio web CLOP LEAKS.

RansomHub

RansomHub ha emergido con fuerza como una de las amenazas más activas tras la desarticulación de BlackCat. Aparecido en 2023, este grupo ha ganado notoriedad por ofrecer su infraestructura a antiguos afiliados de bandas disueltas, posicionándose como una opción atractiva en el ecosistema RaaS. Opera de forma selectiva y sofisticada, centrándose en víctimas de alto perfil. 

Su impacto ha sido inmediato: en el primer trimestre de 2025, RansomHub se colocó en el segundo puesto por número de víctimas, con más de 230 ataques registrados. Se estima que su malware es una evolución de variantes anteriores, con mejoras en el cifrado y en las capacidades de evasión.

Hunters International

Hunters International es un grupo relativamente reciente, surgido a finales de 2023, que ha despertado el interés de los analistas por su posible relación con antiguos miembros de Hive. A pesar de su juventud, ya ha comenzado a sumar víctimas y a establecer su presencia en foros clandestinos. Su estrategia combina el cifrado de archivos con la exfiltración y publicación de datos sensibles en su portal de filtraciones. 

Aunque aún no figura entre los grupos más activos, el primer trimestre de 2025 ha confirmado su actividad con al menos 27 víctimas documentadas. Todo apunta a que seguirá creciendo en los próximos meses.

S2 Grupo, tu aliado frente a los grupos de ransomware

Los grupos de ransomware que acabamos de describir cuentan en su haber con miles de ataques extremadamente destructivos para empresas, teniendo un fuerte impacto económico y en la reputación de las organizaciones.

Desde S2 Grupo trabajamos para poner freno a esta amenaza, ayudando a las organizaciones a saber qué hacer frente a un ataque de ransomware a través de nuestros equipos humanos y tecnológicos más punteros contra las ciberamenazas. Quizás más importante, nos centramos en trabajar la ciberresiliencia de las organizaciones de forma proactiva, de modo que se pongan barreras a los grupos de ransomware antes de que puedan perpetrar el ataque. 

Descarga nuestro informe Panorama del Ransomware para saber más o ponte en contacto con nosotros para descubrir las estrategias para proteger a tu organización.

Consultoría de protección ante un ataque de RaaS

Artículos relacionados
Test de intrusión: tipos de pruebas, aplicaciones y alcances
Leer más →
Certificación ENS: requisitos y pasos clave para obtenerla
Leer más →
Hacking ético: procedimiento, técnicas y recomendaciones
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día