Qilin Ransomware
Qilin es un Ransomware como servicio de afiliados que ahora utiliza un ransomware basado en Rust para atacar a sus víctimas. Muchos ataques de ransomware Qilin se personalizan para cada víctima para maximizar su impacto. Es importante señalar que el grupo de ransomware Qilin tiene la capacidad de generar muestras para las versiones de Windows y ESXi.
La variante Rust es especialmente eficaz para los ataques de ransomware ya que, además de sus cualidades propensas a la evasión y difíciles de descifrar, también facilita la personalización del malware para Windows, Linux y otros sistemas operativos.
El ransomware son archivos Windows PE (Portable Executable) de 64 bits escritos en Go y dirigidos específicamente a sistemas basados en Windows. El grupo que distribuyó el malware se centró en organizaciones sanitarias y educativas de Indonesia, Arabia Saudita, Sudáfrica y Tailandia.
Qilin ransomware utiliza cifrado AES-256 para cifrar los archivos en el sistema de la víctima. El ransomware también utiliza RSA-2048 para cifrar la clave generada. Después de un cifrado exitoso, a los archivos cifrados se les agrega una nueva extensión de archivo aleatoria, como ".MmXReVIxLV".
El Ransomware anuncia en la DarkWeb, Tiene un DLS patentado que contiene identificaciones únicas de la empresa y detalles de cuentas filtrados, según observaciones de los expertos de Group-IB Threat Intelligence.
Los analistas de Group-IB encontraron una captura de pantalla original de una publicación de un "reclutador" de Qilin para contratar afiliados y anunciar su RaaS en un foro clandestino.
¿Cómo se propaga el ransomware Agenda/Qilin?
Qilin ransomware es un malware peligroso que puede infectar una computadora o red de varias maneras, que incluyen:
- Difusión de archivos infectados
- Hipervínculos maliciosos
- Agresiones basadas en el RDP
- Suplantación de identidad
Encrypted Files Extension:
Ransom Demanding Message
[random_string]-RECOVER-README.txt
Detection Names
Avast Win64:Trojan-gen
Sophos Mal/Generic-S
Emsisoft Trojan.Ransom.Babuk.F (B)
Kaspersky Trojan.Win32.DelShad.ivd
Malwarebytes Generic.Malware/Suspicious
Microsoft Ransom:Win32/Babuk.SIB!MTB
| SHA256 | |
|---|---|
| e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a057 7388c22527 | Ransom.Win32.AGENDA.THIAF B |
| 55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649 225efbbd1 | Ransom.Win32.AGENDA.THIAH B |
| 37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b7 4f44f56cf6 | Ransom.Win32.AGENDA.THIAH B |
- domain ygo44wtbprhx2kvibtgjj3rrjo3f4fccuhuavy6vnvtrvihpruqdjuad.onion
- domain pmbvfcoawmpkpqtcrv3fmtqyvxufbpiidrseseypvxrmlbh727aoqmyd.onion
- domain ozsxj4hwxub7gio347ac7tyqqozvfioty37skqilzo2oqfs4cw2mgtyd.onion
- FileHash-SHA256 e4a319f7afafbbd710ff2dbe8d0883ef332afcb0363efd4e919ed3c3faba0342
- FileHash-SHA256 93d0cc8492511c663f17544b3bf14eab8ccb492909536e79ef652921d809bb1a
- FileHash-SHA256 117fc30c25b1f28cd923b530ab9f91a0a818925b0b89b8bc9a7f820a9e630464
- FileHash-SHA1 5f99214d68883e91f586e85d8db96deda5ca54af
- FileHash-SHA1 002971b6d178698bf7930b5b89c201750d80a07e
- FileHash-MD5 a7ab0969bf6641cd0c7228ae95f6d217
Family: Qilin ransomware is part of the Qilin ransomware family
Type: Qilin ransomware is a Ransomware-as-a-Service (RaaS) affiliate program
Variant: Qilin ransomware is also known as Agenda ransomware Qilin Ransomwarehttp://ozsxj4hwxub7gio347ac7tyqqozvfioty37skqilzo2oqfs4cw2mgtyd.onion e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527
Recomendaciones
- Agregue capas de seguridad
- Tenga una estrategia de "copia de seguridad”
- Parchear: cuanto más tiempo permanezca sin parchear una vulnerabilidad, mayor será el riesgo de explotación por parte de los ciberdelincuentes
- Controlar las vulnerabilidades: no hacer la vista gorda ante las vulnerabilidades emergentes.
- Nunca pague el rescate: en el 97% de los casos de ataques de ransomware, es imposible recuperar el acceso a los datos sin un software de descifrado.
Referencias
- https://www.group-ib.com/blog/qilin-ransomware/
- https://www.salvagedata.com/qilin-agenda-ransomware/
- https://www.secneurx.com/post/what-is-qilin-ransomware/
.jpg)
