Sign up to save your podcasts
Or
Share IPGR Investigación 7 - Ransomware Qilin
Share to email
Share to Facebook
Share to X
Share to email
Share to Facebook
Share to X
Or
IPGR Investigación 7 - Ransomware Qilin
Investigación Profunda de Grupos de Ransomware
Investigación 7 - Ransomware Qilin
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).
Modelo y alcance
Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.
TTPs clave
Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.
Ataque a virtualización
Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.
Mitigación recomendada
Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.
Links:
https://www.sans.org/blog/evolution-qilin-raas
https://www.picussecurity.com/resource/blog/qilin-ransomware
https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/
https://cybelangel.com/blog/qilin-ransomware-tactics-attack/
https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/
https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/
https://www.cyfirma.com/research/tracking-ransomware-june-2025/
https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data
https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7
https://www.group-ib.com/blog/qilin-ransomware/
https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf
https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf
https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator
https://www.halcyon.ai/threat-group/scatteredspider
https://www.cyfirma.com/research/tracking-ransomware-march-2025/
https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/
https://www.halcyon.ai/threat-group/qilin
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
Hosted on Acast. See acast.com/privacy for more information.
View all episodes
By Jose RojasInvestigación Profunda de Grupos de Ransomware
Investigación 7 - Ransomware Qilin
Redes Sociales
https://shows.acast.com/blueteam-sin-morir-en-el-intento
https://linkedin.com/company/blue-team-smi
https://x.com/blueteam_smi
https://www.youtube.com/@BlueTeamSMI
Donativo
https://buymeacoffee.com/btsmi
Qilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).
Modelo y alcance
Afiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.
TTPs clave
Acceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.
Ataque a virtualización
Incorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.
Mitigación recomendada
Defensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.
Links:
https://www.sans.org/blog/evolution-qilin-raas
https://www.picussecurity.com/resource/blog/qilin-ransomware
https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/
https://cybelangel.com/blog/qilin-ransomware-tactics-attack/
https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/
https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/
https://www.cyfirma.com/research/tracking-ransomware-june-2025/
https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data
https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7
https://www.group-ib.com/blog/qilin-ransomware/
https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf
https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf
https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator
https://www.halcyon.ai/threat-group/scatteredspider
https://www.cyfirma.com/research/tracking-ransomware-march-2025/
https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/
https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/
https://www.halcyon.ai/threat-group/qilin
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a
Hosted on Acast. See acast.com/privacy for more information.