Check Point Research, la división de Inteligencia de Amenazas de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), pionero y líder global en soluciones de ciberseguridad, publica su Índice Global de Amenazas del mes de mayo de 2025, en el que destaca SafePay, un grupo de ransomware relativamente nuevo pero en rápido crecimiento, que ha superado a otras amenazas este mes para posicionarse como el actor más prevalente en la lista de principales grupos de ransomware, empleando una estrategia de doble extorsión. Mientras tanto, FakeUpdates continúa dominando como el malware más extendido, afectando a empresas en todo el mundo. El sector educativo sigue siendo la industria más atacada, lo que refleja vulnerabilidades persistentes en estas instituciones.
En mayo, Europol, el FBI, Microsoft y otros socios lanzaron una operación importante dirigida contra Lumma, una destacada plataforma de malware como servicio. Esta acción ha permitido la incautación de miles de dominios, interrumpiendo significativamente la operación. Sin embargo, se afirma que los servidores principales de Lumma, ubicados en Rusia, permanecieron operativos, y sus desarrolladores restauraron rápidamente la infraestructura. A pesar de ello, la operación ha causado un daño reputacional mediante tácticas psicológicas como el phishing y la generación de desconfianza entre sus usuarios. Aunque la interrupción técnica fue considerable, los datos relacionados con Lumma continúan circulando, lo que genera preocupación sobre el impacto a largo plazo de la operación.
“Los datos del Índice Global de Amenazas de mayo subrayan la creciente sofisticación de las tácticas cibercriminales. Con el ascenso de grupos como SafePay y la persistente amenaza de FakeUpdates, las compañías deben adoptar medidas de seguridad proactivas y de múltiples capas”, ha explicado Lotem Finkelstein, director de Inteligencia de Amenazas en Check Point Software.
“A medida que aumentan las ciberamenazas, es fundamental anticiparse a la evolución de los ataques con información sobre riesgos en tiempo real y defensas sólidas”, dijo Manuel Rodríguez, Gerente de Ingeniería de Seguridad en NOLA de Check Point Software.
Principales familias de malware en Colombia en mayo de 2025
*Las flechas se refieren al cambio de rango en comparación con el mes anterior.
1. ↔ Remcos – Remcos es un RAT que apareció por primera vez en la naturaleza en 2016 y que se distribuye a través de documentos maliciosos de Microsoft Office que se adjuntan a correos electrónicos no deseados y está diseñado para eludir la seguridad de CCU (Control de Cuentas de Usuario) de Microsoft Windows y ejecutar malware con privilegios de alto nivel. Este RAT ha impactado en mayo a un 16,96% de los negocios en Colombia y en el mundo al 2,88%.
2. ↔ FakeUpdates – FakeUpdates (AKA SocGholish) – Downloader hecho en JavaScript. Escribe las payloads en el disco antes de lanzarlas. Fakeupdates ha llevado a muchos otros programas maliciosos, como GootLoader, Dridex, NetSupport, DoppelPaymer y AZORult. Este downloader ha impactado en mayo al 7,14% de las empresas en Colombia y en un 5,41% al mundo.
3. ↔ AsyncRat – AsyncRat Troyano de acceso remoto (RAT) dirigido a sistemas Windows, identificado por primera vez en 2019. Extrae información del sistema hacia un servidor de comando y control y puede ejecutar diversas acciones, como descargar complementos, terminar procesos, capturar capturas de pantalla y actualizarse automáticamente. Se distribuye comúnmente a través de campañas de phishing para el robo de datos y la toma de control de sistemas. En Colombia en mayo impactó al 5,06% de las empresas y en el mundo al 1,70%.
Los tres malware móviles más usados en mayo
El mes pasado, Anubis ha ocupado el primer puesto como malware para móviles más extendido, seguido de AhMyth y Necro.
• ↔ Anubis – nubis es un troyano bancario versátil que surgió en dispositivos Android y ha evolucionado para incluir funciones avanzadas como eludir autenticación multifactor (MFA) interceptando contraseñas de un solo uso (OTP) por SMS, keylogging, grabación de audio y funciones de ransomware. Se distribuye principalmente a través de aplicaciones maliciosas en Google Play Store e incluye capacidades de acceso remoto (RAT).
• ↔ AhMyth – AhMyth es un troyano de acceso remoto (RAT) que ataca dispositivos Android, generalmente camuflado como aplicaciones legítimas (grabadoras de pantalla, juegos o herramientas de criptomonedas). Una vez instalado, obtiene amplios permisos, permitiéndole persistir tras reinicios y exfiltrar información sensible como credenciales bancarias, claves de criptomonedas, códigos MFA y contraseñas. También permite keylogging, capturas de pantalla, acceso a cámara y micrófono, e interceptación de SMS.
• ↑ Necro – Necro es un descargador malicioso para Android que recupera y ejecuta componentes dañinos en dispositivos infectados según órdenes de sus creadores. Se ha descubierto en varias aplicaciones populares en Google Play, así como en versiones modificadas de apps en plataformas no oficiales como Spotify, WhatsApp y Minecraft. Puede descargar módulos peligrosos, mostrar anuncios invisibles, descargar archivos ejecutables, instalar apps de terceros, y ejecutar JavaScript oculto que puede suscribir a los usuarios a servicios pagos no deseados. También puede redirigir el tráfico de internet a través de dispositivos comprometidos, convirtiéndolos en parte de una red de bots proxy para ciberdelincuentes.
Principales grupos de ransomware en mayo
El ransomware sigue dominando el panorama del cibercrimen. Este mes, SafePay se posiciona como la amenaza de ransomware más significativa, con una nueva generación de operadores que atacan tanto a grandes empresas como a negocios pequeños. Las tácticas empleadas por estos grupos son cada vez más sofisticadas, y la competencia entre ellos se intensifica.
• SafePay – SafePay es un grupo de ransomware detectado por primera vez en noviembre de 2024, con indicios que sugieren una posible afiliación rusa. Opera bajo un modelo de doble extorsión: cifra los archivos de las víctimas mientras exfiltra datos sensibles para aumentar la presión del pago. Aunque no funciona como un servicio de ransomware (RaaS), SafePay ha listado un número inusualmente alto de víctimas. Su estructura centralizada e internamente dirigida permite tácticas, técnicas y procedimientos (TTPs) consistentes, con objetivos bien definidos.
• Qilin – También conocido como Agenda, es una operación criminal de ransomware como servicio (RaaS) que colabora con afiliados para cifrar y exfiltrar datos de organizaciones comprometidas, exigiendo luego un rescate. Este ransomware, que fue detectado por primera vez en julio de 2022 y está desarrollado en Golang Agenda, se enfoca en grandes empresas y organizaciones de alto valor, especialmente en los sectores de salud y educación. Habitualmente infiltra a sus víctimas mediante correos de phishing con enlaces maliciosos, para luego moverse lateralmente dentro de las infraestructuras y cifrar datos críticos.
• Play – Play Ransomware, también conocido como PlayCrypt, apareció por primera vez en junio de 2022. Ha atacado un amplio espectro de empresas e infraestructuras críticas en América del Norte, del Sur y Europa, afectando a unas 300 entidades para octubre de 2023. Suele acceder a las redes a través de cuentas válidas comprometidas o explotando vulnerabilidades sin parches, como las de Fortinet SSL VPNs. Dentro del sistema, emplea técnicas como el uso de binarios legítimos del sistema (LOLBins) para exfiltrar datos y robar credenciales.
Los sectores más atacados globalmente en mayo:
El mes pasado, Educación ocupó el primer puesto de los sectores más atacados en el mundo, seguido de Gobierno/Militar y Telecomunicaciones.
1. Educación
2. Gobierno/Militar
3. Telecomunicaciones
Los datos de mayo reflejan el crecimiento continuo de campañas de malware sofisticadas y en múltiples fases, con SafePay emergiendo como una amenaza destacada de ransomware. Mientras FakeUpdates mantiene su posición como el malware más extendido, nuevos actores como SafePay y las operaciones en curso contra Lumma infostealer demuestran la creciente complejidad de los ciberataques. El sector educativo sigue siendo un objetivo clave, lo que enfatiza aún más la necesidad de que las empresas adopten medidas de seguridad proactivas y en capas para defenderse de estas amenazas cada vez más avanzadas.
Read less 
Letícia
