Amenazas Informáticas

Nuevos ransomware al acecho en 2025.

Posted on by Melissa Figarola

Los nuevos actores del ransomware: Interlock, Warlock y SafePay.

Durante la primera mitad de 2025, los ataques de ransomware crecieron un 47% respecto al mismo periodo del año anterior.
Este aumento no solo obedece a grupos “clásicos”, sino también a bandas emergentes con tácticas novedosas.

1. Interlock.

  • Su primera aparición fue a fines de 2024, desde entonces ha realizado más de 20 ataques contra empresas de sectores como salud, educación y administración pública.

  • Usa una técnica llamada ClickFix que emplea ventanas emergentes engañosas para que el usuario ejecute scripts sin darse cuenta.

  • Luego de internarse en la red, cifra sistemas, exfiltra datos y amenaza con hacerlos públicos.

2. Warlock.

  • Apareció en marzo de 2025 (también conocido como Gold Salem o Storm-2603), ha atacado a más de 60 empresas del sector tecnológico, financiero y telecomunicaciones.

  • Su técnica inicial consiste en explotar vulnerabilidades zero-day de Microsoft SharePoint (por ejemplo CVE-2025-49706, CVE-2025-53770).

  • Además del cifrado, aplica doble extorsión: amenaza con divulgar los datos robados.

3. SafePay.

  • Si bien empezó a operar en el segundo semestre de 2024, en 2025 se convirtió en una de las bandas más activas.

  • En el primer trimestre de 2025 registró más de 200 ataques, sus víctimas incluyen países de Latinoamérica (México, Colombia, Argentina).

  • Utiliza accesos obtenidos con credenciales robadas, vulnerabilidades conocidas o servicios expuestos (como VPN).

  • Luego se desplaza lateralmente dentro de la red, roba credenciales y exige rescate con plazos específicos, amenazando con la publicación de datos.

¿Y México qué debe hacer?

Aunque la mayoría de los ataques se enfocan en Estados Unidos y Europa, SafePay ya ha registrado víctimas en México. Por eso, las organizaciones mexicanas también deben estar alerta y actuar preventivamente.

Claves para protegerse contra estos nuevos ransomware.

  1. Autenticación multifactor (MFA): reduce sustancialmente el riesgo de que usuarios malintencionados accedan con contraseñas comprometidas.

  2. Respaldos frecuentes y seguros: tener copias actualizadas fuera de la red normal permite recuperarse sin ceder al chantaje.

  3. Capacitación constante: educar al personal para reconocer correos sospechosos, enlaces dudosos y tácticas de ingeniería social.

  4. Monitoreo activo de vulnerabilidades: estar al tanto de parches y actualizaciones, especialmente para sistemas clave como SharePoint.

  5. Segmentación de red y control de privilegios: limitar el movimiento lateral de los atacantes dentro de la infraestructura.

Fuente web: https://www.welivesecurity.com/es/cibercrimen/ransomware-2025-nuevos-grupos-interlock-warlock-safepay/

Melissa Figarola