El panorama del ransomware se ha vuelto contra sí mismo esta semana, tras el inicio de una campaña de extorsión por parte de la banda 0APT contra su rival, Krybit. Los observadores de la dark web detectaron este movimiento el domingo, el cual incluye amenazas de doxxeo contra los afiliados y operadores de Krybit.
0APT, que surgió en enero de 2026, sostiene que Krybit representa una amenaza para la privacidad de los datos a nivel mundial. En una acción calificada por los analistas como hipócrita, el grupo declaró: "Si el grupo no realiza el pago o no se pone en contacto con nosotros, revelaremos sus fotos de identidad, nombres, ubicación y demás".
Para demostrar sus intenciones, 0APT publicó una muestra de datos presuntamente robados a Krybit. El grupo se ha ofrecido a desbloquear la información de cualquiera de las propias víctimas de Krybit que decida dar un paso al frente.
Los analistas descubren datos internos
Eric Taylor, propietario de la firma Barricade Cyber Solutions, con sede en Carolina del Sur, confirmó que su equipo analizó la muestra filtrada. Los archivos incluían credenciales en texto plano pertenecientes a los operadores de Krybit, cinco direcciones de monederos de criptomonedas y ninguna evidencia de que el grupo hubiera logrado cobrar rescates de sus propios objetivos.
El sitio web oficial de Krybit se encuentra actualmente fuera de servicio. Una página de aviso muestra ahora un mensaje de disculpas por la interrupción y promete que los servicios se restablecerán en breve.
Aunque las tácticas de extorsión son habituales en la industria del ransomware, suelen basarse en la amenaza de daños reputacionales o interrupciones operativas. Dado que las bandas criminales operan en la clandestinidad, estas amenazas suelen tener menos peso que si se dirigieran a corporaciones legítimas. Sin embargo, la extrema paranoia que rodea la identidad de los actores de amenazas proporciona a 0APT un potencial poder de presión.
Según una investigación de Halcyon, 0APT posee una "profundidad técnica creíble" y ha mantenido un alto volumen de actividad desde su creación. A las 48 horas de su lanzamiento, el grupo se atribuyó la responsabilidad de cientos de organizaciones víctimas, aunque los investigadores sugieren que muchas de esas afirmaciones fueron exageradas.
Se sabe poco sobre el objetivo, Krybit. Las principales empresas de inteligencia de amenazas aún no han publicado informes formales sobre el grupo, que parece haber estado activo solo unas pocas semanas.
Los ataques de criminales contra criminales no carecen de precedentes. En casos anteriores, como la actividad de la banda DragonForce, los operadores de ransomware han atacado a sus propios colegas para interrumpir operaciones o ganar acceso a infraestructura ilícita.