El panorama de ransomware experimentó un cambio significativo en el segundo trimestre de 2025, ya que el ransomware Qilin surgió como la amenaza dominante después del colapso inesperado de Ransomhub, anteriormente la operación más prolífica de ransomware como servicio.
Esta transición ha remodelado el ecosistema cibercriminal, con Qilin capitalizando el vacío dejado por el abrupto abandono de operaciones de Ransomhub a principios de abril de 2025.
La desaparición de Ransomhub marcó el final de una era para lo que había sido la plataforma RAAS líder, promediando aproximadamente 75 víctimas cotizadas por mes durante los seis meses anteriores.
La repentina salida del grupo dejó a numerosas afiliados luchando por plataformas alternativas, creando una oportunidad que Qilin aprovechó rápidamente.
El impacto fue inmediato y medible, con muchos antiguos operadores de Ransomhub migrando sus operaciones a la infraestructura de Qilin.
Qilin Promoción de nuevas herramientas de extorsión (Fuente – Punto de verificación)
Investigadores de punto de control identificado Un aumento dramático en la actividad de Qilin durante este período, con el grupo casi duplicando su recuento de víctimas de un promedio de 35 víctimas por mes a casi 70.
Esto representa uno de los cambios de potencia más significativos observados en el ecosistema de ransomware, destacando qué tan rápido pueden adaptarse los actores de amenaza y redistribuir después de las interrupciones importantes.
El patrón de migración sugiere un nivel de continuidad operativa que demuestra la resistencia y adaptabilidad de las redes modernas de ransomware.
Mecanismos de extorsión mejorados
El ascenso de Qilin a la prominencia se ha acompañado por la introducción de mecanismos de extorsión sofisticados que representan una evolución significativa en las tácticas de ransomware.
El grupo se ha ido más allá de los ataques tradicionales basados en el cifrado, adoptando un modelo integral de datos de datos y exposición que maximiza la presión sobre las víctimas al tiempo que reduce los riesgos operativos asociados con el cifrado de archivos.
La operación de ransomware ahora ofrece una capacidad DDOS integrada directamente dentro de su panel administrativo, lo que permite a los afiliados abrumar las redes de víctimas mientras realizan negociaciones.
Qilin promocionando su nueva función DDOS (fuente – Punto de verificación)
Este enfoque de doble presión combina el robo de datos con la interrupción del servicio, creando múltiples puntos de apalancamiento contra organizaciones específicas.
Además, Qilin ha introducido los servicios de “asistencia legal”, donde el grupo analiza datos robados para identificar posibles violaciones regulatorias y prepara la documentación para la presentación a las autoridades relevantes, incluidas las agencias fiscales y los organismos de aplicación de la ley.
Quizás lo más preocupante sea el desarrollo de Qilin de herramientas de acoso automatizadas diseñadas para inundar canales de comunicación corporativa.
Estos incluyen el correo electrónico a granel y las capacidades de spam del teléfono dirigido a empleados víctimas, clientes y socios.
El grupo también anuncia el apoyo de presuntos periodistas para crear campañas de exposición pública, aunque los investigadores de seguridad creen que muchos de estos servicios dependen en gran medida del contenido generado por la IA y los sistemas automatizados en lugar de las operativas humanas.
Esta evolución refleja la tendencia más amplia de la industria hacia los modelos de extorsión centrados en datos, donde la amenaza de exposición pública y consecuencias regulatorias a menudo resulta más convincente para las víctimas que el cifrado de archivos tradicional.
El conjunto de herramientas integral de Qilin demuestra cómo los grupos de ransomware modernos están adaptando sus modelos comerciales para mantener la rentabilidad en un entorno operativo cada vez más desafiante.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
