Ransomware Qilin Utiliza Spear-Phishing
El grupo de ransomware Qilin apareció por primera vez a finales de octubre de 2022. Ese fue su año con menor actividad; su punto máximo se alcanzó a partir de la segunda mitad de 2024 en adelante. Desde sus inicios hasta la fecha, Qilin ha afectado a 384 víctimas de distintos giros empresariales, lo que lo posiciona entre los grupos de ransomware con mayor actividad en los últimos años entrando en el top 20, específicamente en el lugar número 13 de los ransomwares con más ataques.
Qilin es un ransomware que se vende como un ransomware como servicio (RaaS), siendo un ransomware sofisticado dada su alta capacidad de personalización para dirigirse a una empresa en específico. Este grupo utiliza tácticas de doble extorsión, exfiltrando los datos antes de cifrarlos. Esto les permite intimidar a las víctimas, advirtiéndoles que, si no se paga el rescate por los archivos, estos serán publicados en su sitio de filtraciones.
Sitio de filtraciones de Qilin WikileaksV2 [1]
Sitio de filtraciones alterno de Qilin [1]
Como la mayoría de los grupos, se han ido modernizando con el pasar del tiempo para contrarrestar el avance de la seguridad. Esta “Modernización” consiste en el uso de nuevas técnicas, tácticas, herramientas, etc. Así como también, nuevas variantes, como lo es el caso de Qilin. B.
Recientemente se ha observado que el grupo de ransomware está utilizando phishing como técnica inicial de ataque. El ataque comienza con un correo malicioso que suplanta a una herramienta legítima de autentificación llamada ScreenConnect. El correo simula ser una alerta de autenticación y dirige al usuario a un enlace malicioso adjunto, el cual solicita iniciar sesión a través de ScreenConect. El vínculo adjunto es el medio mediante el cual el grupo de ransomware logra robar las credenciales, ya que el sitio falso imita de forma convincente a la plataforma legítima. Las víctimas ingresan sus datos como lo harían normalmente, incluyendo usuario, contraseña y autenticación multifactor (MFA).
Imagen del correo de spear-phishing [2]
Después de la obtención de las credenciales, el grupo de ransomware se autentifica en el sitio oficial en donde logran acceder con éxito y, dependiendo de los permisos, irán tomando el control de la herramienta hasta lograr el control total para después desplegar el ransomware.
Indicadores de Compromiso:
|
IOC |
Tipo |
|
45c8716c69f56e26c98369e626e0b47d7ea5e15d3fb3d97f0d5b6e8997299d1a |
SHA-256 |
|
5c0dff98294700b90c34c8cca2eb69575e74909c |
SHA-1 |
|
109.70.100.1 |
ip |
|
cloud.screenconnect.com.ms |
hostname |
|
128.127.180.156 |
ip |
|
91.238.181.230 |
ip |
|
93.115.25.139 |
ip |
|
fea2747a4799abb5db22e7290f2184869c17c389b3f271f74c09fa8ec32d200a |
SHA-256 |
|
fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039 |
SHA-256 |
|
ee865ca753c9da0b5f954349fd3aa9baf1365396347623d2094e2a9e1eba0312 |
SHA-256 |
|
e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527 |
SHA-256 |
|
d917bc24af22b214ec8336f488f11cd19533f796e3eedbbc1d745530ac73a649 |
SHA-256 |
|
76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e |
SHA-256 |
|
55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1 |
SHA-256 |
|
555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4 |
SHA-256 |
|
473b8a705436627bda54177577b562528aba2f845c2c6ebbe8d2cc082b506e1c |
SHA-256 |
|
37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6 |
SHA-256 |
|
1c0cf762cecb0242268bcf8828701d4af96906c4b6a08ca268fe7aa59a3176be |
SHA-256 |
|
fd7cbadcfca84b38380cf57898d0de2adcdfb9c3d64d17f886e8c5903e416039 |
SHA-256 |
|
e90bdaaf5f9ca900133b699f18e4062562148169b29cb4eb37a0577388c22527 |
SHA-256 |
|
76f860a0e238231c2ac262901ce447e83d840e16fca52018293c6cf611a6807e |
SHA-256 |
|
55e070a86b3ef2488d0e58f945f432aca494bfe65c9c4363d739649225efbbd1 |
SHA-256 |
|
555964b2fed3cced4c75a383dd4b3cf02776dae224f4848dcc03510b1de4dbf4 |
SHA-256 |
|
37546b811e369547c8bd631fa4399730d3bdaff635e744d83632b74f44f56cf6 |
SHA-256 |
Recomendaciones
-
Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- RANSOMLOOK.IO. (2025.) Qilin. Recuperado el 09 de Abril del 2025 en: https://www.ransomlook.io/group/qilin
- SOPHOS. (2025. Abril 02) Los afiliados de Qilin realizan un ataque de spear-phishing al administrador de ScreenConnect de un MSP dirigiéndose a los clientes intermedios. Recuperado el 09 de Abril del 2025 en: https://news.sophos.com/es-es/2025/04/02/los-afiliados-de-qilin-realizan-un-ataque-de-spear-phishing-al-administrador-de-screenconnect-de-un-msp-dirigiendose-a-los-clientes-intermedios/
- TABULADO. (2025. Abril 09) Qilin: El peligroso ransomware que reutiliza phishing y vuelve a atacar. Recuperado el 09 de Abril del 2025 en: https://www.tabulado.net/qilin-el-peligroso-ransomware-que-reutiliza-phishing-y-vuelve-a-atacar/
- DIAZ, MUÑOZ, C. (2025. Abril 04) El Ransomware “Qilin” nuevamente al acecho: Ataca usando Phishing. Recuperado el 09 de Abril del 2025 en: https://es.paperblog.com/el-ransomware-qilin-nuevamente-al-acecho-ataca-usando-phishing-9385844/
.jfif)
