Qilin
El grupo de ransomware Qilin -también conocido por su nombre anterior Agenda- es una sofisticada operación de ransomware como servicio (RaaS) que surgió en 2022 y desde entonces ha evolucionado hasta convertirse en una de las amenazas de ciberextorsión más activas y adaptables, dirigida a sectores críticos de todo el mundo mediante tácticas de doble extorsión, personalización avanzada y una red de afiliados en rápida expansión.
Información general sobre Qilin
El grupo operaba originalmente bajo el nombre de Agenda (observado por primera vez a mediados de 2022). En septiembre de 2022 pasó a llamarse Qilin (por la mítica criatura). "Por ello, a veces se hace referencia al ransomware Qilin como Agenda o Qilin/Agenda.
Qilin funciona como un ransomware como servicio (RaaS), apoyando a los afiliados que llevan a cabo ataques utilizando sus herramientas, infraestructura y sitio de filtraciones. Se informa de que los afiliados se reparten los beneficios: en torno a un 15-20 % para el operador en muchos casos. En algunos informes, para rescates superiores a ciertos umbrales, los afiliados pueden quedarse con el 80-85 % (es decir, el operador se queda con una parte menor) para incentivar ataques más grandes.
Aunque no existe una atribución definitiva, las pruebas sugieren que los principales operadores son rusos o tienen su base en antiguos Estados soviéticos o de la CEI:
- En ocasiones, el binario del ransomware incluye un "interruptor de desactivación" o una comprobación de idioma para evitar su ejecución en sistemas con localizaciones rusas o de Europa del Este.
- La captación de afiliados se observa en foros clandestinos en ruso.
- La política de no atacar a organizaciones de la CEI / Rusia (antigua URSS) es coherente con muchos grupos de ransomware de origen ruso.
- El calendario de los ataques, la reutilización del código, las firmas operativas y el uso del lenguaje coinciden con la cultura cibercriminal de Europa del Este.
Qilin/Agenda tenía inicialmente implementaciones en Golang; se han observado versiones posteriores en Rust y herramientas actualizadas. La carga útil del ransomware y el panel de afiliados son personalizables (es decir, los afiliados pueden seleccionar qué tipos de archivos o directorios omitir, modos de cifrado, procesos que matar, etc.). El grupo ha mejorado su oferta con el tiempo, añadiendo funciones a su sitio / blog de filtraciones, componentes de "asistencia legal" para afiliados, negociación automatizada, capacidades DDoS y soporte de spam.
Países objetivo de Qilin
El grupo opera en todo el mundo, con víctimas en Norteamérica, Europa, Asia y Latinoamérica, entre otros países.
Enmayo de 2023, el sitio de filtraciones de Qilin tenía víctimas de Australia, Brasil, Canadá, Colombia, Francia, Países Bajos, Serbia, Reino Unido, Japón y Estados Unidos.
Muchosataques evitan los Estados de la CEI/antigua Unión Soviética, de acuerdo con las normas internas del grupo.
Industrias objetivo de Qilin
- Servicios médicos y sanitarios: Qilin se ha centrado repetidamente en proveedores médicos, servicios de diagnóstico y laboratorios de análisis de sangre, que son de alto valor debido a los datos críticos y la sensibilidad operativa.
- Fabricación e industria: instalaciones de producción atacadas y fabricantes de piezas.
- Construcción, ingeniería, infraestructuras: varios informes de consultorías de construcción y empresas relevantes atacadas.
- Tecnología, software, servicios informáticos: por su conectividad y acceso a otras redes.
- Finanzas, servicios profesionales: objetivo ocasional, especialmente cuando se dispone de datos sensibles o de datos de clientes.
- Bienes de consumo/ bienes industriales: el reciente ataque reivindicado contra Asahi Group (Japón, bebidas/cerveza) es un ejemplo de expansión a grandes conglomerados.
Las víctimas de Qilin
Qilin ha atacado a más de 895 víctimas en todo el mundo.
Método de ataque de Qilin
Uso de servicios remotos expuestos (por ejemplo, RDP, VPN), explotación de aplicaciones / vulnerabilidades de software de cara al público, campañas de phishing / phishing y, en ocasiones, uso de dispositivos FortiGate expuestos.
Uso de cuentas / credenciales válidas (compradas, robadas o travesía lateral), robo de token / suplantación de identidad, inyección de procesos, posiblemente explotación de vulnerabilidades en software o SO.
Borrado de registros/limpieza de registros de eventos del sistema, desactivación o finalización de servicios de seguridad/antivirus, ofuscación de la ejecución, selección de qué directorios/archivos omitir para evitar la detección, hilos de limpieza periódicos.
Extracción de credenciales de la memoria, LSASS, volcado de credenciales, reutilización de credenciales filtradas o explotación de almacenes de configuración de software de copia de seguridad.
Reconocimiento de redes y hosts, identificación de recursos compartidos, controladores de dominio, descubrimiento de rutas de encaminamiento, asignación de servidores de archivos y almacenes de datos.
Uso de credenciales válidas o servicios remotos, replicación a través de la red; pivoteo vía SMB, RPC, ejecución remota de comandos; propagación a sistemas de alto valor y servidores de respaldo.
Agregación de datos de interés (por ejemplo, bases de datos, documentos, archivos sensibles), puesta en escena de paquetes de exfiltración, compresión / cifrado de datos exfiltrados.
Despliegue de la carga útil del ransomware. A menudo se ejecuta a través de la línea de comandos con parámetros, el uso de un ejecutable personalizado (por ejemplo, "w.exe"), posiblemente aprovechando la infraestructura de copia de seguridad o VM para propagar el cifrado.
Carga de los datos robados en servidores controlados por el atacante, a menudo antes del cifrado (modelo de doble extorsión). Uso de canales cifrados o herramientas proxy, posiblemente a través de cadenas malware .
Cifrado de datos en los sistemas de las víctimas (cifrado híbrido AES-256 + RSA-2048 en muchos casos), eliminación de copias de seguridad, visualización de notas de rescate, amenaza de filtración pública de datos, denegación de acceso a los sistemas.
Uso de servicios remotos expuestos (por ejemplo, RDP, VPN), explotación de aplicaciones / vulnerabilidades de software de cara al público, campañas de phishing / phishing y, en ocasiones, uso de dispositivos FortiGate expuestos.
Uso de cuentas / credenciales válidas (compradas, robadas o travesía lateral), robo de token / suplantación de identidad, inyección de procesos, posiblemente explotación de vulnerabilidades en software o SO.
Borrado de registros/limpieza de registros de eventos del sistema, desactivación o finalización de servicios de seguridad/antivirus, ofuscación de la ejecución, selección de qué directorios/archivos omitir para evitar la detección, hilos de limpieza periódicos.
Extracción de credenciales de la memoria, LSASS, volcado de credenciales, reutilización de credenciales filtradas o explotación de almacenes de configuración de software de copia de seguridad.
Reconocimiento de redes y hosts, identificación de recursos compartidos, controladores de dominio, descubrimiento de rutas de encaminamiento, asignación de servidores de archivos y almacenes de datos.
Uso de credenciales válidas o servicios remotos, replicación a través de la red; pivoteo vía SMB, RPC, ejecución remota de comandos; propagación a sistemas de alto valor y servidores de respaldo.
Agregación de datos de interés (por ejemplo, bases de datos, documentos, archivos sensibles), puesta en escena de paquetes de exfiltración, compresión / cifrado de datos exfiltrados.
Despliegue de la carga útil del ransomware. A menudo se ejecuta a través de la línea de comandos con parámetros, el uso de un ejecutable personalizado (por ejemplo, "w.exe"), posiblemente aprovechando la infraestructura de copia de seguridad o VM para propagar el cifrado.
Carga de los datos robados en servidores controlados por el atacante, a menudo antes del cifrado (modelo de doble extorsión). Uso de canales cifrados o herramientas proxy, posiblemente a través de cadenas malware .
Cifrado de datos en los sistemas de las víctimas (cifrado híbrido AES-256 + RSA-2048 en muchos casos), eliminación de copias de seguridad, visualización de notas de rescate, amenaza de filtración pública de datos, denegación de acceso a los sistemas.
TTPs utilizados por Qilin
Cómo detectar Qilin con Vectra AI
Preguntas frecuentes
¿Cuál es el principal motivo de Qilin?
Qilin tiene una motivación económica. Sus operaciones giran en torno a la extorsión mediante ransomware (cifrado + filtración). No hay ningún mensaje ideológico o político manifiesto en sus sitios o campañas de filtración públicos.
¿Cómo se asegura Qilin de que los afiliados cumplen las normas (por ejemplo, que no atacan regiones de la CEI)?
El binario del ransomware puede incluir un interruptor de desactivación basado en el idioma para evitar la ejecución en locales rusos o de Europa del Este. También aplican políticas en sus acuerdos de afiliación (por ejemplo, no permiten dirigirse a entidades rusas o de la CEI).
¿Puede Qilin ser detectado o bloqueado por los modernos sistemas EDR / XDR?
Muchos proveedores de seguridad afirman que sus herramientas pueden detectar el comportamiento de Qilin/Agenda, pero la detección es difícil debido a la personalización, ofuscación y tácticas de limpieza de registros utilizadas por Qilin y sus afiliados. Por tanto, son cruciales unos puntos finales robustos, la detección de anomalías, la segmentación de la red y la supervisión de la seguridad.
¿Cuáles son los buenos indicadores tempranos o IOC para la infiltración de Qilin?
Algunos indicadores útiles son:
- Conexiones externas inusuales a hosts raros o nuevos (especialmente dominios en .ru o TLDs raros).
- Intentosrepentinos de acceder o enumerar copias de seguridad o controladores de dominio.
- Ejecución de binarios desconocidos o renombrados (por ejemplo, "w.exe") con argumentos de línea de comandos.
- Eliminación/ borrado de los registros de eventos del sistema.
- Usode proxy o malware SOCKS (por ejemplo, SystemBC) para tunelizar el tráfico.
- Actividad inusual de exploración o movimiento lateral en la red.
¿Cómo deben prepararse las organizaciones para resistir un ataque Qilin?
Algunas estrategias de defensa incluyen:
- Autenticación fuerte e higiene de credenciales (multifactor, mínimo privilegio, bóveda de credenciales).
- Gestión de parches y vulnerabilidades (especialmente para aplicaciones de cara al público, software de copia de seguridad, VPN).
- Segmentación de redes y aislamiento de sistemas críticos (especialmente copias de seguridad).
- Supervisión de comportamientos anómalos (conexiones inusuales, escaneos, nuevos binarios).
- Copias de seguridad frecuentes e inmutables (incluidas copias fuera de la red y en el aire).
- Planificación y ejercicios de respuesta a incidentes (incluidos simulacros).
- Uso de una solución de detección y respuesta a amenazas con detección basada en el comportamiento en lugar de basarse únicamente en firmas.
- La inteligencia sobre amenazas y la caza de amenazas se centraron en los indicadores de las filiales de Qilin.
¿Cuál es la cronología de un ataque Qilin típico, desde el compromiso hasta el impacto?
Aunque los plazos varían según la víctima y el afiliado, el patrón a menudo implica: compromiso inicial (a través de RDP / exploit / phishing), movimiento lateral y reconocimiento durante horas o días, exfiltración de datos confidenciales y, a continuación, cifrado rápido de los sistemas, seguido de peticiones de rescate. Algunas campañas despliegan el cifrado pocas horas después del ataque, especialmente cuando la automatización es alta.
¿Pueden las víctimas negociar o pagar a Qilin con seguridad?
La negociación es habitual en el ransomware, incluido Qilin. Sin embargo, pagar conlleva riesgos: no entrega de las claves de descifrado, extorsión posterior, filtración a pesar del pago o mayor compromiso. Algunos afiliados u operadores pueden cumplir los acuerdos, pero no hay garantías. Las víctimas deben evaluar cuidadosamente los riesgos legales, de reputación y operativos y, en el mejor de los casos, contratar a asesores legales y de respuesta a incidentes con experiencia.
¿Existe un descifrador público para Qilin / Agenda?
A partir de las fuentes abiertas publicadas actualmente, no se conoce ningún descifrador público que descifre de forma fiable los datos cifrados con Qilin sin pagar.
¿Cómo se compara Qilin con otros grupos de ransomware (por ejemplo, LockBit, Black Basta)?
Qilin es única por su alto grado de flexibilidad para los afiliados, sus características promocionales (por ejemplo, "abogado de llamadas" en el panel) y su rápido crecimiento. Ha absorbido a afiliados desplazados por interrupciones en otras operaciones de RaaS (por ejemplo, tras las interrupciones de LockBit). Tiende a la focalización oportunista más que a las operaciones altamente personalizadas a nivel estatal.
¿Cuáles son las señales de advertencia (banderas rojas) en la inteligencia sobre amenazas o en las conversaciones de la web oscura?
- Puestos de reclutamiento de afiliados para Qilin en foros clandestinos.
- Nuevas entradas de blog o filtraciones de víctimas publicadas en un sitio de filtraciones de Qilin.
- Nuevas versiones de los binarios del ransomware Qilin (por ejemplo, en Rust) que aparecen en los repositorios de malware .
- Informes públicos sobre campañas de Qilin a gran escala o reivindicaciones de decenas o cientos de víctimas.