Check Point Research publica su Índice Global de Amenazas del mes de mayo de 2025, en el que destaca SafePay, un grupo de ransomware relativamente nuevo pero en rápido crecimiento, que ha superado a otras amenazas este mes para posicionarse como el actor más prevalente en la lista de principales grupos de ransomware, empleando una estrategia de doble extorsión.
Mientras tanto, FakeUpdates continúa dominando como el malware más extendido, afectando a empresas en todo el mundo. El sector educativo sigue siendo la industria más atacada, lo que refleja vulnerabilidades persistentes en estas instituciones.
En mayo, Europol, el FBI, Microsoft y otros socios lanzaron una operación importante dirigida contra Lumma, una destacada plataforma de malware como servicio.
Esta acción ha permitido la incautación de miles de dominios, interrumpiendo significativamente la operación. Sin embargo, se afirma que los servidores principales de Lumma, ubicados en Rusia, permanecieron operativos, y sus desarrolladores restauraron rápidamente la infraestructura.
A pesar de ello, la operación ha causado un daño reputacional mediante tácticas psicológicas como el phishing y la generación de desconfianza entre sus usuarios. Aunque la interrupción técnica fue considerable, los datos relacionados con Lumma continúan circulando, lo que genera preocupación sobre el impacto a largo plazo de la operación.
“Los datos del Índice Global de Amenazas de mayo subrayan la creciente sofisticación de las tácticas cibercriminales. Con el ascenso de grupos como SafePay y la persistente amenaza de FakeUpdates, las compañías deben adoptar medidas de seguridad proactivas y de múltiples capas”, explicó Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software.
“A medida que aumentan las ciberamenazas, es fundamental anticiparse a la evolución de los ataques con información sobre riesgos en tiempo real y defensas sólidas”, agregó.
Principales familias de malware en Argentina en mayo
Las flechas se refieren al cambio de rango en comparación con el mes anterior.
- ↑FakeUpdates (también conocido como SocGholish) es un malware de descarga que se descubrió inicialmente en 2018. Se propaga mediante descargas no autorizadas en sitios web comprometidos o maliciosos, incitando a los usuarios a instalar una actualización falsa del navegador. El malware Fakeupdates está asociado con el grupo de hackers ruso Evil Corp y se utiliza para distribuir diversas cargas útiles secundarias tras la infección inicial. Este downloader ha impactado en el 8,40% de las empresas en Argentina.
- ↑ Formbook, identificado por primera vez en 2016, es un malware ladrón de información que ataca principalmente a sistemas Windows. Este malware recopila credenciales de varios navegadores web, recopila capturas de pantalla, monitoriza y registra las pulsaciones de teclas, y puede descargar y ejecutar cargas útiles adicionales. Se propaga mediante campañas de phishing, archivos adjuntos maliciosos en correos electrónicos y sitios web comprometidos, a menudo camuflados como archivos legítimos. Este malware impactó en el 3,78% de las empresas Argentinas.
- ↔ Androxgh0st – Androxgh0st es un botnet que afecta a plataformas Windows, Mac y Linux. Para la infección inicial, Androxgh0st explota múltiples vulnerabilidades, específicamente dirigidas al PHPUnit, el Marco de Trabajo de Laravel y el Servidor Web Apache. El malware roba información sensible como cuentas de Twilio, credenciales SMTP, llave AWS, etc. Utiliza archivos de Laravel para recolectar la información. Tiene diferentes variantes que escanean información. Este botnet ha impactado al 2,52% de las compañías argentinas.
Los tres malware móviles más usados en mayo
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de AhMyth y Necro.
- ↔ Anubis – anubis es un troyano bancario versátil que surgió en dispositivos Android y ha evolucionado para incluir funciones avanzadas como eludir autenticación multifactor (MFA) interceptando contraseñas de un solo uso (OTP) por SMS, keylogging, grabación de audio y funciones de ransomware. Se distribuye principalmente a través de aplicaciones maliciosas en Google Play Store e incluye capacidades de acceso remoto (RAT).
- ↔ AhMyth – AhMyth es un troyano de acceso remoto (RAT) que ataca dispositivos Android, generalmente camuflado como aplicaciones legítimas (grabadoras de pantalla, juegos o herramientas de criptomonedas). Una vez instalado, obtiene amplios permisos, permitiéndole persistir tras reinicios y exfiltrar información sensible como credenciales bancarias, claves de criptomonedas, códigos MFA y contraseñas. También permite keylogging, capturas de pantalla, acceso a cámara y micrófono, e interceptación de SMS.
- ↑ Necro – Necro es un descargador malicioso para Android que recupera y ejecuta componentes dañinos en dispositivos infectados según órdenes de sus creadores. Se ha descubierto en varias aplicaciones populares en Google Play, así como en versiones modificadas de apps en plataformas no oficiales como Spotify, WhatsApp y Minecraft. Puede descargar módulos peligrosos, mostrar anuncios invisibles, descargar archivos ejecutables, instalar apps de terceros, y ejecutar JavaScript oculto que puede suscribir a los usuarios a servicios pagos no deseados. También puede redirigir el tráfico de internet a través de dispositivos comprometidos, convirtiéndolos en parte de una red de bots proxy para ciberdelincuentes.
Principales grupos de ransomware en mayo
El ransomware sigue dominando el panorama del cibercrimen. Este mes, SafePay se posiciona como la amenaza de ransomware más significativa, con una nueva generación de operadores que atacan tanto a grandes empresas como a negocios pequeños.
Las tácticas empleadas por estos grupos son cada vez más sofisticadas, y la competencia entre ellos se intensifica.
- SafePay – SafePay es un grupo de ransomware detectado por primera vez en noviembre de 2024, con indicios que sugieren una posible afiliación rusa. Opera bajo un modelo de doble extorsión: cifra los archivos de las víctimas mientras exfiltra datos sensibles para aumentar la presión del pago. Aunque no funciona como un servicio de ransomware (RaaS), SafePay ha listado un número inusualmente alto de víctimas. Su estructura centralizada e internamente dirigida permite tácticas, técnicas y procedimientos (TTPs) consistentes, con objetivos bien definidos.
- Qilin – También conocido como Agenda, es una operación criminal de ransomware como servicio (RaaS) que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo luego un rescate. Este ransomware, que fue detectado por primera vez en julio de 2022 y está desarrollado en Golang Agenda, se enfoca en grandes empresas y organizaciones de alto valor, especialmente en los sectores de salud y educación. Habitualmente infiltra a sus víctimas mediante correos de phishing con enlaces maliciosos, para luego moverse lateralmente dentro de las infraestructuras y cifrar datos críticos.
- Play – Play Ransomware, también conocido como PlayCrypt, apareció por primera vez en junio de 2022. Ha atacado un amplio espectro de empresas e infraestructuras críticas en América del Norte, del Sur y Europa, afectando a unas 300 entidades para octubre de 2023. Suele acceder a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de Fortinet SSL VPNs. Dentro del sistema, emplea técnicas como el uso de binarios legítimos del sistema (LOLBins) para exfiltrar datos y robar credenciales.
Los sectores más atacados en Argentina en mayo
El sector educativo sigue siendo el más atacado en mayo de 2025, seguido de cerca por los sectores gubernamental y de telecomunicaciones. Estos sectores siguen siendo objetivos prioritarios debido a su infraestructura crítica y su gran base de usuarios, lo que los hace vulnerables a una amplia gama de ciberataques.
- Educación
- Gobierno
- Telecomunicaciones
Los datos de mayo reflejan el crecimiento continuo de campañas de malware sofisticadas y en múltiples fases, con SafePay emergiendo como una amenaza destacada de ransomware.
Mientras FakeUpdates mantiene su posición como el malware más extendido, nuevos actores como SafePay y las operaciones en curso contra Lumma infostealer demuestran la creciente complejidad de los ciberataques.
El sector educativo sigue siendo un objetivo clave, lo que enfatiza aún más la necesidad de que las empresas adopten medidas de seguridad proactivas y en capas para defenderse de estas amenazas cada vez más avanzadas.
