El tercer trimestre de 2025 experimentó un aumento significativo en los ataques de ransomware, con un incremento del 11% en las publicaciones de filtraciones de datos en comparación con el trimestre anterior. Según un informe de Beazley Security, solo tres grupos de ransomware fueron responsables de la mayoría de los casos (65%), y la principal vía de acceso inicial fueron las credenciales VPN comprometidas.
Grupos de Ransomware Dominantes
Los tres grupos de ransomware más prolíficos en el tercer trimestre fueron Akira, Qilin e INC Ransomware. Estos grupos han demostrado una gran capacidad operativa, contribuyendo a la gran mayoría de los incidentes reportados.
Vectores de Acceso Inicial
La forma más común en que los atacantes obtuvieron acceso inicial fue mediante el uso de credenciales válidas para acceder a las VPN. Este método representó el 48% de las brechas, un aumento notable desde el 38% del trimestre anterior. El segundo método más popular fue la explotación de servicios externos, que constituyó el 23% de los casos.
Ataques de Credenciales a SonicWall por el Grupo Akira
El informe destaca el uso de credenciales en ataques de relleno de credenciales (“credential stuffing”) dirigidos a los servicios SonicWall SSLVPN por parte del grupo Akira. Estos ataques aprovechan controles de acceso débiles, como la ausencia de autenticación multifactor (MFA) y políticas de bloqueo de cuentas insuficientes.
La proliferación de credenciales robadas se ve impulsada por el mercado clandestino de ciberdelincuencia, alimentado por ladrones de información (infostealers). A pesar de la interrupción del ecosistema de Lumma Stealer por la Operación Endgame, la variante Rhadamanthys ha surgido para ocupar su lugar.
Aumento de las Vulnerabilidades de Día Cero
La amenaza a los sistemas corporativos no solo proviene del abuso de credenciales. En el tercer trimestre, Beazley rastreó 11,775 nuevos CVEs publicados por NIST. Aunque esta cifra se mantuvo similar a la del trimestre anterior, Beazley Security Labs emitió un 38% más de avisos a sus clientes sobre vulnerabilidades de día cero.
Estas vulnerabilidades incluyeron:
- CVE-2025-53770: Vulnerabilidad “ToolShell” en Microsoft SharePoint.
- CVE-2025-54309: CrushFTP.
- CVE-2025-20333 y CVE-2025-20363: Cisco ASA VPN.
- CVE-2025-7775: Citrix NetScaler.
Conclusiones y Recomendaciones
El informe de Beazley enfatiza la necesidad de una gestión de vulnerabilidades continua. Las organizaciones deben abordar las vulnerabilidades graves lo más rápido posible, implementando mitigaciones temporales o bloqueando el acceso a la red hasta que se puedan aplicar parches críticos.
Además, las organizaciones deben asumir que los dispositivos críticamente vulnerables expuestos a Internet pueden haber sido comprometidos y deben investigar adecuadamente. La proliferación de credenciales robadas subraya la urgencia de adoptar una autenticación multifactor integral (MFA) y políticas de acceso condicional robustas.
Referencias
- Vulnerabilidades de Día Cero:
- CVE-2025-53770: Microsoft SharePoint “ToolShell”
- CVE-2025-54309: CrushFTP
- CVE-2025-20333 y CVE-2025-20363: Cisco ASA VPN
- CVE-2025-7775: Citrix NetScaler
- Grupos de Ransomware Mencionados: Akira, Qilin, INC Ransomware.
- Ataque Específico: Ataques de Akira a servicios SonicWall SSLVPN.
- Amenazas de Infostealer: Rhadamanthys (sucesor de Lumma Stealer).