El ransomware genera ~$10B+ anuales en pagos globales (2024) y ha desplazado al APT como amenaza CTI #1 para empresas. Este theme conecta el playbook de respuesta (IRM-17), el catalogo de threat actors (threat-actor-search incluye ransomware gangs como LockBit, BlackCat, Cl0p), y la defensa preventiva via threat intel feeds (ej. monitorear leak sites).

Patrones 2025-2026: (1) double extortion estandar (cifrar + exfiltrar + amenazar leak); (2) RaaS (Ransomware-as-a-Service) democratiza la operacion (LockBit affiliates); (3) Initial Access Brokers venden accesos en mercados (categoria propia en threat-actor-search); (4) Living off the land + AnyDesk/RDP brute force como vectores top; (5) leak sites son fuente CTI clave (monitorizar para detectar tu propia organizacion ANTES del rescate).

El junior debe (1) conocer el playbook IRM-17 paso a paso, (2) saber consultar leak sites (LockBitSupp, etc.) via clearnet o Tor, (3) mantener perfiles actualizados de las 5-10 gangs activas en su sector. NO acceder leak sites desde IP corporativa sin OPSEC apropiada.

No tenemos perfiles entity dedicados de gangs especificas (LockBit, BlackCat, Cl0p) — son referenciadas en threat-actor-search pero merecen entity propia. Faltan notas sobre negociacion ransomware (Coveware data) y aspectos legales (sanctions OFAC).