Japón experimentó un aumento significativo en los ataques de ransomware durante la primera mitad de 2025, con incidentes que aumentaron aproximadamente 1,4 veces en comparación con el mismo período en 2024.
Según una investigación integral realizada por analistas de ciberseguridad, 68 casos de ransomware afectaron a las organizaciones japonesas entre enero y junio de 2025, que representa un aumento sustancial de los 48 casos registrados durante el período correspondiente del año pasado.
Esta escalada demuestra el panorama de amenazas persistente y en evolución que enfrenta las empresas japonesas en múltiples sectores.
Los atacantes continúan demostrando una clara preferencia por atacar a las pequeñas y medianas empresas, y las organizaciones tienen capital por debajo de mil millones de yenes que comprenden el 69% de todas las víctimas.
La fabricación sigue siendo el sector más severamente afectado, representando el 18.2% de todos los incidentes, seguido de compañías automotrices con un 5,7%.
La tasa de incidentes mensuales promedió aproximadamente 11 ataques, con fluctuaciones que van desde un mínimo de 4 a un máximo de 16 casos por mes, lo que indica una actividad de actor de amenaza constante durante todo el período de observación.
Analistas de Cisco Talos identificado Un cambio notable en el panorama de amenazas de ransomware, con el grupo Qilin emergiendo como el operador más activo dirigido a organizaciones japonesas.
A pesar de no tener actividad reportada en Japón durante el año fiscal 2024, Qilin orquestó ocho ataques confirmados durante la primera mitad de 2025, estableciéndose como la principal preocupación para los profesionales de la ciberseguridad japonesa.
Este dramático aumento en las operaciones de Qilin coincidió con el cese de las actividades de grupos previamente dominantes Lockbit y 8Base, que fueron interrumpidos por las operaciones de retiro de la ley en febrero de 2024 y febrero de 2025, respectivamente.
La investigación también dio a conocer la aparición de un nuevo grupo de ransomware llamado Kawa4096, que comenzó a operar a fines de junio de 2025 e inmediatamente se dirigió a empresas japonesas.
Kawa4096 Sitio de fuga (Fuente – Cisco Talos)
Dentro de su primera semana de actividad, este grupo comprometió con éxito a dos organizaciones japonesas, demostrando un enfoque alarmante en el mercado japonés desde su inicio.
La rápida orientación de las entidades japonesas por parte de este nuevo grupo sugiere una sofisticada inteligencia de amenazas y capacidades operativas.
Análisis técnico de Kawalocker: mecanismos avanzados de cifrado y evasión
El ransomware Kawalocker desplegado por Kawa4096 exhibe características técnicas sofisticadas que lo distinguen de las familias de ransomware convencionales.
El malware utiliza un sistema de configuración basado en recursos, cargando parámetros operativos críticos a través de la API FindResourceW de las secciones RCData integradas.
Archivo cifrado (Fuente – Cisco Talos)
Este enfoque permite a los atacantes personalizar el comportamiento de cifrado, las exclusiones de archivos y los comandos posteriores a la infección sin modificar el ejecutable central.
El ransomware implementa una estrategia inteligente de cifrado basada en fragmentos utilizando el cifrado de transmisión Salsa20, optimizando el rendimiento basado en los tamaños de archivos.
Para archivos menores de 10 MB, se produce un cifrado completo, mientras que los archivos más grandes experimentan un cifrado selectivo con diferentes tamaños de fragmentos.
Nota de rescate Kawocker2.0 (Fuente – Cisco Talos)
Los archivos entre 32 MB y 64 MB reciben fragmentos de 32 MB, mientras que los archivos que exceden los 2 GB se procesan utilizando segmentos de 128 MB.
Este enfoque selectivo reduce significativamente el tiempo de cifrado al tiempo que mantiene la inaccesibilidad de los datos.
Kawalocker incorpora técnicas de evasión múltiple, incluida la creación de Mutex utilizando “Say_hi_2025” para evitar ejecuciones duplicadas y manipulación de registro para establecer asociaciones de archivos personalizados.
El malware termina sistemáticamente los servicios de bases de datos y copias de seguridad antes del cifrado, luego ejecuta comandos de eliminación de copias de sombra para evitar intentos de recuperación, lo que demuestra una comprensión integral de las infraestructuras de copia de seguridad empresariales.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
