El grupo de ransomware conocido como Qilin (también conocido como Agenda, Gold Feather y Water Galura) se ha cobrado más de 40 víctimas cada mes desde principios de 2025, con la excepción de enero, y el número de publicaciones en el sitio de violación de datos alcanzó un máximo de 100 en junio.
El desarrollo se produce cuando las operaciones de ransomware como servicio (RaaS) se han convertido en uno de los grupos de ransomware más activos, con 84 víctimas cada uno en agosto y septiembre de 2025. Se sabe que Qilin ha estado activo desde aproximadamente julio de 2022.
Según datos recopilados por Cisco Talos, algunos de los países más afectados por Qilin son Estados Unidos, Canadá, Reino Unido, Francia y Alemania. Los ataques se dirigieron principalmente a los sectores manufacturero (23%), servicios profesionales y científicos (18%) y comercio mayorista (10%).
Los ataques lanzados por afiliados de Qilin pueden haber aprovechado las credenciales de administrador filtradas en la web oscura para realizar el acceso inicial mediante una interfaz VPN, seguido de conexiones RDP a controladores de dominio y puntos finales comprometidos con éxito.
En la siguiente fase, los atacantes realizaron acciones de reconocimiento del sistema y descubrimiento de redes para mapear la infraestructura, ejecutaron herramientas como Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe y SharpDecryptPwd para facilitar la recopilación de credenciales de varias aplicaciones y utilizaron scripts de Visual Basic para filtrar datos a un servidor SMTP externo.
«Los comandos ejecutados a través de Mimikatz apuntaban a una variedad de datos confidenciales y funciones del sistema, incluida la limpieza del registro de eventos de Windows, la habilitación de SeDebugPrivilege, la extracción de contraseñas guardadas de la base de datos SQLite de Chrome, la recuperación de credenciales de inicios de sesión anteriores y la recopilación de credenciales y datos de configuración relacionados con RDP, SSH y Citrix», dijo Talos.
Un análisis más detallado reveló que los atacantes utilizaron mspaint.exe, notepad.exe e iexplore.exe para inspeccionar archivos en busca de información confidencial, y una herramienta legítima llamada Cyberduck para transferir los archivos objetivo a un servidor remoto mientras ocultaban su actividad maliciosa.
Se ha descubierto que las credenciales robadas permiten la escalada de privilegios y el movimiento lateral, y explotan el acceso elevado para instalar múltiples herramientas de administración y monitoreo remoto (RMM), incluidas AnyDesk, Chrome Remote Desktop, Remote Desktop, GoToDesk, QuickAssist y ScreenConnect. Talos dijo que no puede concluir de manera concluyente si el programa se utilizó para el movimiento lateral.
Para evadir la detección, la cadena de ataque incluye la ejecución de comandos de PowerShell para deshabilitar AMSI, desactivar la validación de certificados TLS y habilitar la administración limitada, además de ejecutar herramientas como dark-kill y HRSword para finalizar el software de seguridad. Cobalt Strike y SystemBC también se implementan en el host para un acceso remoto persistente.
La infección culmina con el lanzamiento del ransomware Qilin. Qilin ransomware cifra archivos y coloca una nota de rescate en cada carpeta cifrada, pero antes de hacerlo, borra los registros de eventos y elimina todas las instantáneas mantenidas por el Servicio de instantáneas de volumen (VSS) de Windows.
Este hallazgo es consistente con el descubrimiento de sofisticados ataques Qilin que implementan variantes de ransomware de Linux en sistemas Windows y utilizan una combinación de técnicas de «traiga su propio controlador vulnerable» (BYOVD) y herramientas de TI legítimas para sortear las barreras de seguridad.
«Los atacantes explotaron herramientas legítimas, específicamente instalando AnyDesk y ejecutando comandos a través de la plataforma de administración y monitoreo remoto (RMM) de Atera Networks y ScreenConnect. Aprovecharon Splashtop para la ejecución final del ransomware», dijo Trend Micro.
«Se dirigieron específicamente a la infraestructura de respaldo de Veeam utilizando una herramienta especializada de extracción de credenciales, recolectando sistemáticamente credenciales de múltiples bases de datos de respaldo y comprometiendo las capacidades de recuperación ante desastres de la organización antes de implementar la carga útil del ransomware».
Además de utilizar cuentas válidas para infiltrarse en las redes objetivo, algunos ataques utilizan phishing selectivo o páginas CAPTCHA falsas estilo ClickFix alojadas en la infraestructura de Cloudflare R2 para desencadenar la ejecución de cargas útiles maliciosas. Se ha evaluado que estas páginas proporcionan un medio para robar la información necesaria para recopilar las credenciales utilizadas para obtener el acceso inicial.
Algunos de los pasos clave que toma un atacante son:
Implementar una DLL proxy SOCKS para facilitar el acceso remoto y la ejecución de comandos Abusar de las capacidades de administración remota de ScreenConnect para ejecutar comandos de descubrimiento y ejecutar herramientas de escaneo de red para identificar posibles objetivos de movimiento lateral Apuntar a la infraestructura de respaldo de Veeam para recolectar credenciales Usar el controlador ‘eskle.sys’ como parte de un ataque BYOVD para deshabilitar soluciones de seguridad, finalizar procesos y evadir la detección Implementar PuTTY en clientes SSH de Linux para facilite el movimiento lateral hacia los sistemas Utilice instancias de proxy SOCKS entre varios directorios del sistema y ofusque el tráfico de comando y control (C2) con puertas traseras COROXY Utilice WinSCP para transferir archivos binarios de ransomware de Linux a Windows Transfiera archivos de forma segura a su sistema Ejecute archivos binarios de ransomware de Linux directamente en sistemas Windows utilizando el servicio de gestión de Splashtop Remote (SRManager.exe)
«Los archivos binarios de ransomware de Linux ofrecían capacidades multiplataforma, lo que permitía a los atacantes utilizar una única carga útil para afectar a los sistemas Windows y Linux en un entorno», señalaron los investigadores de Trend Micro.
«Las muestras actualizadas incorporan la detección de Nutanix AHV y amplían los objetivos para incluir plataformas de infraestructura hiperconvergente, lo que demuestra que los actores de amenazas están yendo más allá de las implementaciones tradicionales de VMware y adaptándose a los entornos de virtualización empresarial modernos».
Source link
