OCGs

Cl0p es considerado uno de los grupos ransomware más peligrosos de la actualidad, conocidos por la explotación de vulnerabilidades zero-day y ser uno de los grupos que más beneficios económicos ha obtenido con sus ataques.

Ha sido el grupo más activo de todas las OCG. Evitando atacar Rusia y operando bajo el modelo de "Ransomware como servicio", ha impactado organizaciones de alto nivel por todo el mundo.

Centrando sus ataques en PYMES, ha sido durante 2023 uno de los grupos ransomware con mayor actividad. Se le ha relacionado con el grupo Ransomhouse.

Otro grupo de ransomware del horizonte de amenazas. De relativa capacidad operativa e impacto. Se cree que huyó con el dinero de sus afiliados, saludos a ALPHV.

ALPHV, también conocido como BlackCat, operaba bajo un modelo de Ransomware como servicio (RaaS). Es conocido por su alta sofisticación, alta actividad y gran agresividad durante la extorsión. Actualmente se encuentra desaparecido.

Por el momento, menos maduro que otras OCGs y sin preferencias en el sector objetivo, el grupo ha focalizado sus esfuerzos en impactar organizaciones de tamaño medio.

Black Basta, posible heredero de Conti por temporalidad y sus direcciones de pago, ha comprometido organizaciones por todo el mundo y de todos los sectores, consiguiendo más de 100 millones de euros en rescates.

Considerado uno de los grupos de ransomware más activos, BianLian es conocido por atacar infraestructuras críticas. Desde la publicación del descifrador, sus ataques son exclusivamente de exfiltración de información y no se produce necesariamente el cifrado de archivos. Se cree que es un grupo de origen ruso.

Royal, surgido en 2022, es un grupo de ransomware originado por exmiembros de Conti. En noviembre de ese año, desarrollaron su propio software y se consolidaron globalmente. Atacaron con éxito EE.UU., destacando el caso de Dallas, exigiendo pagos millonarios.

BlackByte es un grupo de ransomware ruso, detectado en 2021, que ataca infraestructuras críticas, explota vulnerabilidades de drivers y exfiltra datos con herramientas personalizadas. En el año 2024, se trata de uno de los grupos con mas actividad

Este grupo ha atacado organizaciones de todo el mundo indiscriminadamente, impactando principalmente el sector sanitario. Formaron parte activa de la campaña ESXiArgs.

Surgido en febrero de 2024, este adversario ha sido capaz de llamar la atención de afiliados del resto de operadores de ransomware gracias a su modelo de negocio y su builder personalizable. Su uso de EDR-Killers no ha pasado desapercibido.

El grupo Scattered Spider es un adversario angloparlante que surge a mediados de 2022 y que forma parte del “Big Game Hunting”. Han sido capaces de comprometer empresas de diversos sectores y de alto perfil, recaudando decenas de millones de dólares en rescates. Si bien han desplegado ransomware en algunos ataques, no son considerados operadores de ransomware.