El grupo de ransomware Rhysida ha sido víctima de una filtración masiva por parte de un colectivo conocido como Gemini Group. Esta filtración expone más de 100 GB de datos internos del grupo criminal, incluyendo chats, herramientas, manuales operativos y detalles sobre sus víctimas. La información fue publicada en un repositorio público, lo que ha permitido a investigadores y expertos en ciberseguridad acceder a una visión sin precedentes del funcionamiento interno de Rhysida.

Entre los hallazgos más relevantes se encuentran registros de negociaciones con víctimas, instrucciones para el despliegue de ransomware, y evidencia de pagos realizados en criptomonedas. También se reveló que Rhysida utilizaba infraestructura compartida con otros grupos criminales, lo que sugiere vínculos operativos entre distintas organizaciones de ransomware.
La filtración representa un golpe significativo para Rhysida, que ha estado activo desde 2023 y ha atacado instituciones gubernamentales, hospitales y universidades. Además, plantea preguntas sobre la seguridad de los propios grupos criminales y la posibilidad de que existan conflictos internos o acciones de contrainteligencia entre actores del cibercrimen.

Para los profesionales de ciberseguridad, este tipo de filtraciones son una oportunidad valiosa para entender mejor las tácticas, técnicas y procedimientos (TTPs) de los atacantes. También permiten mejorar las defensas, anticipar movimientos y fortalecer la respuesta ante incidentes. Sin embargo, es fundamental manejar esta información con responsabilidad, evitando la glorificación o el uso indebido de datos sensibles.

La operación del Gemini Group, aunque aún rodeada de misterio, demuestra que incluso los grupos más sofisticados pueden ser vulnerables. En un entorno digital cada vez más hostil, la inteligencia ofensiva y la colaboración entre investigadores pueden marcar la diferencia en la lucha contra el ransomware.