A medida que los grupos cibercriminales intentan reforzar sus actividades y completar el vacío dejado por sus rivales, los actores de amenaza detrás del esquema Qilin Ransomware como Servicio (RAAS) ahora ofrecen consejos legales afiliados para presionar a las víctimas para pagar.
La nueva característica toma la forma de la característica del «abogado de Cole» del panel de afiliados, según la compañía israelí de ciberseguridad Cyberazon.
El desarrollo representa el nuevo renacimiento de los grupos de delitos electrónicos como una vez grupos de ransomware populares como Lockbit, Black Cat, Ransomhub, Everest y Blacklock. El grupo también ha sido rastreado como plumas de oro y garra de agua y ha estado activo desde octubre de 2022.
Los datos compilados del sitio de fuga web oscuro administrado por el grupo de ransomware muestran que Qilin tuvo 72 bajas en abril de 2025. En mayo, se estima que está detrás de 55 ataques, y se coloca detrás de Safepay (72) y Luna Moth (67). También es el tercer grupo más activo después de CL0P y Akira, reclamando un total de 304 bajas.
«Qilin se encuentra por encima de otros en un mercado en rápido aumento con su ecosistema maduro, amplias opciones de soporte del cliente y soluciones robustas para garantizar ataques de ransomware de alto impacto importantes», dijo el análisis del grupo esta semana, que asegura un ataque de ransomware bastante impactante.
Hay evidencia que sugiere que un afiliado que trabaja en Ransomhub se ha mudado a Qilin y ha contribuido a los picos de la actividad de ransomware de Qilin en los últimos meses.
«Debido a su creciente presencia en los foros y rastreadores de actividad de ransomware, Qilin opera una infraestructura técnicamente madura: un panel de afiliados que proporciona cargas útiles de óxido y C, un cargador con capacidades de evasión avanzadas, ejecutando modo seguro, propagación de red, limpieza de registros y herramientas de negociación automatizadas.
«Más allá del malware en sí, Qilin ofrece un conjunto completo de servicios de spam, almacenamiento de datos de escala PB, orientación legal y capacidades operativas. Se posiciona no solo como un grupo de ransomware, sino como una plataforma de delito cibernético de servicio completo».
La disminución y terminación de otros grupos se complementa con nuevas actualizaciones al panel de afiliados de Qilin, que incorpora nuevas capacidades de asistencia legal, un equipo de periodistas internos y la capacidad de llevar a cabo ataques de negación distribuida (DDoS). Otra adición notable es una herramienta para enviar spam a direcciones de correo electrónico corporativas y números de teléfono.
Esta extensión muestra el intento por parte de los actores de amenaza de venderse como un servicio de delito cibernético a gran escala más allá del ransomware.
«Si necesita una consulta legal con respecto a su objetivo, simplemente haga clic en el botón» Llamar al abogado «dentro de la interfaz objetivo y nuestro equipo legal se comunicará con usted y brindará apoyo legal elegible».
«La mera aparición de abogados en el chat puede ejercer presión indirecta sobre la empresa y aumentar el rescate porque las empresas quieren evitar procedimientos legales».
Intrinsec ocurre porque al menos un afiliado de Rhysida ha evaluado que han comenzado a usar una utilidad de código abierto llamada Eye Pyramid C2 como una herramienta posterior a la explosión para mantener el acceso a puntos finales comprometidos y proporcionar cargas útiles adicionales.
Es de destacar que el Pyramid C2 del ojo apunta a la misma puerta trasera con sede en Python desplegada por actores de amenaza vinculados a la tripulación del Hub Ransom en el cuarto trimestre de 2024.
También sigue un nuevo análisis de los registros de chat de Black Busta filtrados que arrojan luz sobre los actores de amenaza a través del alias en línea «Tinker». Su identidad del mundo real es actualmente desconocida.
Según Intel 471, se dice que Tinker es uno de los asistentes confiables para el líder del líder del grupo, y ha dirigido un centro de llamadas que incluye al grupo conti ahora depredado, y después de obtener experiencia previa en el centro de llamadas como negociador de Blacksuit (también conocido como Royal), se unió a la Enterprise Criminal como un «director creativo».
«El actor Tinker desempeñó un papel clave para garantizar el acceso temprano a la organización», dijo la compañía de seguridad cibernética. «Las conversaciones filtradas revelan que Tinker analizará los datos financieros y evaluará la situación de la víctima antes de las negociaciones directas».
Además de realizar investigaciones de código abierto para obtener información de contacto para el personal de la compañía senior para forzarlos a través del teléfono o el mensaje, los actores de amenazas tuvieron la tarea de escribir correos electrónicos de phishing diseñados para violar la organización.
En particular, a Tinker también se le ocurrió un escenario de phishing basado en el equipo de Microsoft. El atacante finge ser un empleado de TI, advirtiendo a la víctima que está en el receptor de un ataque de spam, y alienta a los empleados a instalar herramientas de escritorio remotas como Anydesk y otorgar acceso para proteger el sistema.
«Después de instalar el software RMM, la persona que llama se comunicará con uno de los probadores de intrusión Black Basta y se moverá para garantizar el acceso permanente al sistema y al dominio», dijo Intel 471.
El mensaje filtrado también revela que Tinker recibió más de $ 105,000 en criptomonedas por sus esfuerzos desde el 18 de diciembre de 2023 hasta el 16 de junio de 2024.
Los hallazgos coincidieron con la sospecha de su papel de corredor de acceso temprano (IAB) y la extradición de un miembro extranjero desconocido de 33 años del grupo de ransomware Ryuk a los Estados Unidos para promover el acceso a las redes corporativas. El sospechoso fue arrestado de Kiev a principios de abril de este año a solicitud de la policía de los Estados Unidos.
Los miembros estaban «comprometidos en explorar la vulnerabilidad de la red corporativa de las víctimas», dijo la Policía Nacional de Ucrania en un comunicado. «Los datos obtenidos por los hackers fueron utilizados por sus cómplices para planificar y llevar a cabo ataques cibernéticos».
Las autoridades dijeron que podrían rastrear a los sospechosos dirigidos a miembros de la familia de ransomware de LockerGoga, Megacortex y Dharma después de un análisis forense de equipos incautados en redadas anteriores en noviembre de 2023.
En otros lugares, los oficiales de policía tailandeses arrestaron a varios nacionales chinos y otros sospechosos del sudeste asiático después de asaltar un hotel en Pattaya, que se utilizó como estudio de juegos de azar y como oficina para negocios de ransomware.
Se dice que el esquema de ransomware está administrado por seis ciudadanos chinos, y envió un vínculo malicioso a las empresas para infectar ransomware. Los informes de los medios locales dicen que eran empleados de pandillas de cibercrimen que pagaron para distribuir enlaces con confinamiento de Booby a las empresas chinas.
Esta semana, la Oficina de Investigación Central de Tailandia (CIB) anunció el arresto de más de 12 extranjeros como parte de la Operación Firestorm bajo sospecha de llevar a cabo estafas de inversión en línea para fraude a varias víctimas australianas y engañe a la estafa invirtiendo dinero con la promesa de altos rendimientos de los bonos a largo plazo.
Source link
