TrickBot está detrás de más de $724 millones en robo y extorsión de criptomonedas

Los ciberdelincuentes están intensificando sus tácticas, yendo más allá del cifrado de datos tradicional para emplear un enfoque más agresivo conocido como extorsión cuádruple. Esta alarmante tendencia se explica en el último Informe Ransomware 2025: Construyendo Resiliencia en un Panorama de Amenazas Volátil, publicado hoy por Akamai, empresa líder en ciberseguridad y computación en la nube.

El informe revela que, si bien la doble extorsión (una técnica en la que los atacantes cifran datos y amenazan con filtrarlos si no se paga un rescate) sigue siendo común, la emergente extorsión cuádruple añade niveles de presión. Esto incluye el uso de ataques de denegación de servicio distribuido (DDoS ) para paralizar las operaciones de la víctima y acosar a terceros, como clientes, socios comerciales o incluso medios de comunicación, para aumentar la demanda de pago.

“Hoy en día, las amenazas de ransomware ya no se limitan al cifrado”, declaró Steve Winterfeld, CISO Asesor de Akamai. Enfatizó que los atacantes ahora aprovechan el robo de datos, la exposición pública y las interrupciones del servicio para aumentar la presión sobre las víctimas, convirtiendo los ciberataques en graves crisis empresariales.

El informe de Akamai también destaca otros avances significativos en el mundo de la ciberdelincuencia. La IA generativa y los grandes modelos de lenguaje ( LLM ) facilitan a personas con menos conocimientos técnicos lanzar ataques de ransomware complejos, ayudándoles a escribir código malicioso y a mejorar sus técnicas de ingeniería social. El informe señala específicamente que grupos como Black Basta y FunkSec, junto con otras plataformas RaaS , están adoptando rápidamente la IA y evolucionando sus tácticas de extorsión.

Además, los grupos híbridos , que combinan las motivaciones de los hacktivistas con el ransomware, utilizan cada vez más plataformas de ransomware como servicio (RaaS). Estas plataformas permiten a individuos o grupos alquilar el acceso a herramientas e infraestructura de ransomware, lo que amplifica su impacto por diversas razones políticas, ideológicas y financieras. Un ejemplo es Dragon RaaS, surgido en 2024 del grupo Stormous, que ahora se centra en organizaciones más pequeñas y menos seguras.

La investigación indica que ciertos sectores son particularmente vulnerables. Casi la mitad de los ataques de criptominería, que implican el uso secreto de los recursos informáticos de la víctima para minar criptomonedas, se dirigieron a organizaciones sin fines de lucro y educativas. Esto probablemente se deba a que estas organizaciones suelen contar con menos recursos dedicados a la ciberseguridad.

Durante décadas, el malware Trickbot ha sido conocido por secuestrar transacciones de criptomonedas , y el daño financiero causado por estos grupos finalmente está saliendo a la luz. La familia de malware TrickBot, ampliamente utilizada por grupos de ransomware, ha sido responsable de extorsionar más de 724 millones de dólares en criptomonedas a sus víctimas desde 2016.

Aunque la infraestructura de Trickbot fue desmantelada en 2020, el equipo de búsqueda de Guardicore de Akamai identificó recientemente su continua actividad sospechosa en varios sistemas de clientes.

El malware TrickBot se propaga principalmente a través de correos electrónicos de phishing, creados para simular mensajes legítimos de bancos, servicios de mensajería o agencias gubernamentales. Estos correos incluyen archivos adjuntos maliciosos, como archivos de Word o Excel, o enlaces a sitios web comprometidos. Al abrir uno de estos archivos adjuntos, se le puede solicitar que habilite las macros . Si lo hace, se ejecutan scripts maliciosos en segundo plano e instalan TrickBot silenciosamente en el sistema.

Además del phishing, TrickBot puede explotar vulnerabilidades de software sin parchear. Si un sistema no se ha actualizado con las últimas correcciones de seguridad, el malware puede aprovechar esas fallas para acceder a la red o propagarse por ella. También es común que TrickBot se distribuya a través de otro malware, especialmente Emotet o QakBot . Estos actúan como cargadores, configurando la infección para que TrickBot pueda seguirla.

Una vez que TrickBot obtiene acceso, recopila credenciales de inicio de sesión, mapea los sistemas conectados e infecta otras máquinas. Esta cadena de infección le permite recopilar más datos y, en ocasiones, incluso distribuir ransomware.

James A. Casey, vicepresidente y director de privacidad de Akamai, enfatizó la importancia de contar con sólidas medidas de ciberseguridad, la notificación de incidentes y estrategias eficaces de gestión de riesgos, como Zero Trust y la microsegmentación, para fortalecer la resiliencia frente a estas amenazas en constante evolución. Destacó que las organizaciones deben mantenerse al día y adaptar sus defensas para contrarrestar las tácticas cambiantes de la ciberextorsión.