Investigación Profunda de Grupos de Ransomware

Investigación 7 - Ransomware Qilin

Redes Sociales

blueteam.smi@hotmail.com

https://shows.acast.com/blueteam-sin-morir-en-el-intento

https://linkedin.com/company/blue-team-smi

https://x.com/blueteam_smi

https://www.youtube.com/@BlueTeamSMI

Donativo

https://buymeacoffee.com/btsmi

Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).

Modelo y alcance

Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.

TTPs clave

Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.

Ataque a virtualización

Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.

Mitigación recomendada

Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.

Links:

https://www.sans.org/blog/evolution-qilin-raas   

https://www.picussecurity.com/resource/blog/qilin-ransomware   

https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/   

https://cybelangel.com/blog/qilin-ransomware-tactics-attack/   

https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/   

https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/   

https://www.cyfirma.com/research/tracking-ransomware-june-2025/   

https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data   

https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7   

https://www.group-ib.com/blog/qilin-ransomware/   

https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf   

https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf   

https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator   

https://www.halcyon.ai/threat-group/scatteredspider   

https://www.cyfirma.com/research/tracking-ransomware-march-2025/   

https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/   

https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/   

https://www.halcyon.ai/threat-group/qilin   

https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

Hosted on Acast. See acast.com/privacy for more information.