El panorama de amenazas de ransomware fue testigo de un aumento preocupante en julio de 2025, con el grupo de ransomware Qilin manteniendo su posición dominante por tercera vez en cuatro meses.
El grupo reclamó con éxito 73 víctimas en su sitio de fuga de datos, lo que representa el 17.3% del total de 423 incidentes de ransomware del mes.
Esto marca una consolidación significativa de las operaciones penales bajo actores de amenaza establecidos, a medida que el ecosistema de ransomware continúa evolucionando después de la disminución de grupos previamente dominantes como Ransomhub.
La posición de liderazgo sostenida de Qilin refleja las sofisticadas capacidades operativas del grupo y las estrategias de orientación persistente.
Distribución del grupo de ransomware (Fuente – Cibal)
La operación de ransomware como servicio ha demostrado una notable consistencia en la adquisición de víctimas, superando a su competidor más cercano, Inc Ransom, que reclamó a 59 víctimas durante el mismo período.
Estados Unidos llevó la peor parte de estos ataques, representando 223 víctimas, ocho veces más que el segundo lugar de Canadá, iluminando el enfoque continuo en los objetivos occidentales de alto valor.
Investigadores cibal identificado 25 incidentes de ransomware de infraestructura crítica a lo largo de julio, con operaciones de Qilin particularmente que afectan a los sectores, incluidos el gobierno y la aplicación de la ley, la energía y los servicios públicos, y las telecomunicaciones.
Uno de 20 incidentes adicionales mostraron posibles implicaciones de la cadena de suministro debido a los proveedores de software de aplicación comprometidos.
La metodología de orientación del grupo demuestra un enfoque calculado para maximizar tanto los rendimientos financieros como la interrupción operativa.
Explotación de vulnerabilidades empresariales
El éxito de Qilin se deriva en parte de su explotación sistemática de vulnerabilidades empresariales conocidas.
El grupo ha armado siete fallas de seguridad críticas, incluidas CVE-2023-48788, una vulnerabilidad de inyección SQL en Fortinet FortiClientems que afectan las versiones 7.2.0 a 7.2.2 y 7.0.1 a 7.0.10.
Esta vulnerabilidad particular permite a los atacantes ejecutar comandos SQL arbitrarios a través de solicitudes HTTP diseñadas:-
‘Union Select user (), database (), versión ()—
Los vectores de ataque adicionales incluyen CVE-2019-18935, dirigirse a la interfaz de usuario de Progress Telerik para ASP.NET AJAX a través de ataques de deserialización y CVE-2025-5777, explotando las condiciones de lectura fuera de los límites en las implementaciones de Citrix NetScaler ADC y Gateway.
Los entornos de Microsoft SharePoint enfrentan un riesgo particular a través de cuatro vulnerabilidades recientemente identificadas: CVE-2025-53770, CVE-2025-53771, CVE-2025-49704 y CVE-2025-49706.
La persistencia de estos patrones de explotación muestra la importancia crítica de la gestión de parches proactivos y los programas de remediación de vulnerabilidad.
Las organizaciones deben priorizar la obtención de aplicaciones orientadas a Internet e implementar la sólida segmentación de red para limitar el radio de explosión de los intentos de compromiso inicial exitosos.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
