Tres de los grupos más reconocidos en ransomware y extorsión de datos, LockBit, Qilin y DragonForce, anunciaron recientemente que están formando una coalición al estilo cártel. El objetivo: unir esfuerzos, compartir recursos e intercambiar técnicas para fortalecer sus operaciones individuales. Los grupos también invitaron a otros actores a sumarse a esta colaboración.

LockBit es uno de los grupos de ransomware más famosos, conocido por su modelo RaaS (venta de ransomware como servicio a terceros "afiliados"). En 2024 sufrió un golpe importante tras una operación internacional liderada por la policía del Reino Unido, que incluyó incautaciones, sanciones y arrestos, además de la exposición pública de su líder. Qilin es un actor consolidado que atacó recientemente a la cervecera japonesa Asahi, mientras que DragonForce es un grupo más reciente, conocido por ofrecer infraestructura de ransomware a afiliados bajo su propia marca.

Según el informe de inteligencia de amenazas de ReliaQuest, “Ransomware y Ciberextorsión en el T3 2025”, esta colaboración podría facilitar el intercambio de técnicas y recursos, así como fortalecer la capacidad operativa de cada grupo. Investigadores señalan que alianzas similares han tenido un impacto significativo en el pasado, como la colaboración entre LockBit y Maze en 2020, que introdujo la doble extorsión combinando cifrado de sistemas con robo de datos y extorsión.

DragonForce anunció en su sitio de filtraciones que la coalición busca desarrollar conjuntamente su dirección y que los colaboradores invitados podrán unirse si “les importa el futuro de nuestro desafiante campo”. Para LockBit, esta alianza podría servir para restaurar su reputación en el cibermercado tras la operación del año pasado, mientras que la inclusión de Qilin aporta credibilidad y fuerza a la coalición.

El anuncio llega después del lanzamiento del servicio de afiliados LockBit 5.0 y del anuncio de que LockBit planea empezar a atacar infraestructura crítica, un movimiento inusual dado el riesgo legal y la atención que atrae de las fuerzas de seguridad y autoridades. Aún no se sabe cómo se materializará esta intención, y se sospecha si es real o un paso para despistar.

Para organizaciones y defensores, la advertencia es clara: la formación de esta coalición podría introducir nuevas tácticas de ataque, como la doble extorsión. Las recomendaciones de seguridad siguen siendo esenciales: usar productos de seguridad confiables, mantener sistemas actualizados, limitar el acceso RDP y proteger credenciales VPN. Hasta que se vea cómo evoluciona esta alianza, seguir las mejores prácticas de defensa ante ransomware parece la estrategia más segura.

Fuente: DarkReading