Diciembre de 2024 batió récords en volúmenes de ataques de ransomware, según datos publicados por la firma de seguridad cibernética NCC Group, que dijo que vio un total de 574 incidentes confirmados el mes pasado y un nuevo actor de amenazas denominado Funksec representó más de 100 de ellos.
Este fue el nivel más alto de ataques observado por los analistas de NCC desde que la organización publicó por primera vez su informe mensual. Índice de pulso de amenaza en 2021, pasando de 565 en noviembre de 2025 y superando por cierto margen la cifra de 387 de diciembre de 2023. El sector industrial volvió a ostentar el dudoso honor de ser el vertical más atacado, siendo América del Norte y Europa las regiones más atacadas.
“Diciembre suele ser una época mucho más tranquila para los ataques de ransomware, pero el mes pasado se registró el mayor número de ataques de ransomware registrados, lo que cambió ese patrón”, dijo el director asociado de operaciones de inteligencia de amenazas e innovación de servicios de NCC, Ian Usher.
“Los datos deberían servir como una llamada de atención. Ninguna organización es inmune y la mejor defensa es mantenerse a la vanguardia. Las empresas deben redoblar sus medidas de seguridad cibernética y garantizar que sus equipos estén capacitados y preparados para evolucionar con la naturaleza cambiante de las amenazas de ransomware”.
Slam dunk (da funk)
NCC dijo que había muchos factores en juego que podrían haber contribuido al crecimiento de los volúmenes de ataques, desde viejos favoritos, como medidas de seguridad y conciencia organizacionales deficientes, hasta el uso de nuevas tecnologías, como la inteligencia artificial (IA) para respaldar los ataques.
Si bien no hay evidencia que implique directamente a ninguna IA en los ataques de diciembre, la comunidad de seguridad ha estado advirtiendo durante casi dos años que tales herramientas se están utilizando para mejorar los ataques de ransomware a través de una mejor recopilación de información para seleccionar objetivos probables y apoyar campañas de phishing contra ellos.
La emergente banda de extorsión cibernética Funksec parece haber impulsado al menos parte de este alarmante aumento. Según los analistas de Check Point, puede estar entre los que utilizan IA para escalar sus operaciones y gestionar sus campañas.
NCC confirmó que 103 ataques fueron atribuibles a la pandilla en el espacio de solo 31 días (Check Point dijo que observó 85), superando significativamente a Clop/Cl0p con 68 ataques confirmados, Akira con 43 y RansomHub con 41.
Funksec utiliza técnicas estándar de doble extorsión y parece ser algo indiscriminado en sus objetivos, con víctimas reportadas en Francia, India, Tailandia y Estados Unidos, entre otros, y en una variedad de sectores, incluidos el gobierno, la atención médica, la manufactura, los medios y la tecnología.
Sin embargo, según Check Point, muchas de sus afirmaciones han sido marcadas como recicladas, falsificadas o no verificadas, y existen dudas importantes sobre la credibilidad y las capacidades de Funksec. Su equipo de investigación también sugirió que la pandilla podría tener vínculos con Argelia, lo que sugiere una motivación combinada de hacktivismo financiero que la distingue de otras pandillas.
Independientemente de la amenaza que represente, NCC dijo que la pandilla era claramente versátil y que valdría la pena observarla en 2025.
“El surgimiento de actores nuevos y agresivos, como Funksec, que han estado a la vanguardia de estos ataques es alarmante y sugiere un panorama de amenazas más turbulento de cara a 2025. Si los grupos de ransomware se vuelven más audaces y avanzados, podemos esperar que sean más frecuentes y ataques generalizados, poniendo en riesgo a todos los sectores y regiones”, afirmó Usher.
Año histórico
Aunque las estadísticas varían según cuál de los muchos datos de los observadores se lea, no hay duda de que 2024 fue un año destacado para el ransomware, incluso contando con derribos exitosos contra empresas como LockBit.
Tomando el año en su conjunto, los analistas de ZeroFox dijeron que vieron un total de 4.950 incidentes de ransomware y extorsión digital en 2024, frente a aproximadamente 4.000 en 2023. Esta cifra representa principalmente incidentes en los que las víctimas no pagaron o todavía estaban inmersas en negociaciones. , lo que sugiere que el número real era, como siempre, mucho mayor.
ZeroFox dijo que identificó 45 nuevas bandas de ransomware durante 2024, muchas de las cuales se activaron rápidamente, establecieron operaciones notablemente consistentes y se convirtieron en una amenaza genuina para las empresas mucho más rápido de lo observado anteriormente.
Dijo que la diversificación de la comunidad probablemente se debió a una combinación de acciones policiales que liberaron a personas previamente asociadas con LockBit y ALPHV/Black Cat, y la continua profesionalización de los mercados cibercriminales clandestinos y las operaciones de ransomware como servicio. lo que significa que la economía del ransomware está pagando más y volviéndose más accesible para personas que de otro modo no se verían arrastradas al ciberdelito.
Dejando a un lado la campaña de Funksec, RansomHub en particular parece haber sido el más destacado en el período de 12 meses, pasando de cinco ataques en febrero a 97 en noviembre, lo que representa alrededor del 10% de todos los incidentes observados y llevó a cabo 216 ataques conocidos solo en el cuarto trimestre.
Dijo que la pandilla era técnicamente experta y rápida en la evolución de su conjunto de herramientas, implementando nuevas capacidades diseñadas para frustrar los procesos de detección y respuesta de puntos finales (EDR) en agosto y colaborando con otros operativos afiliados.