Ciberseguridad 360 | Qilin une Linux y BYOVD en ofensiva híbrida

Qilin Ransomware

El grupo cibercriminal conocido como Qilin (tambi�n conocido como Agenda, Gold Feather y Water Galura) ha reclamado m�s de 40 v�ctimas cada mes desde principios de 2025, excepto en enero, y el n�mero de publicaciones en su sitio web de filtraci�n de datos alcanz� un m�ximo de 100 casos en junio.

Este avance se produce en un momento en el que la operaci�n ransomware-as-a-service (RaaS) se ha convertido en uno de los grupos de ransomware m�s activos, con 84 v�ctimas en los meses de agosto y septiembre de 2025. Se sabe que Qilin lleva activo desde aproximadamente julio de 2022.

Seg�n los datos recopilados por Cisco Talos, Estados Unidos, Canad�, Reino Unido, Francia y Alemania son algunos de los pa�ses m�s afectados por Qilin. Los ataques se han centrado principalmente en los sectores de la fabricaci�n (23 %), los servicios profesionales y cient�ficos (18 %) y el comercio mayorista (10 %).

Es probable que los intrusiones perpetrados por los afiliados de Qilin hayan aprovechado las credenciales administrativas filtradas en la web oscura para obtener acceso inicial mediante una interfaz VPN, seguido de la realizaci�n de conexiones RDP al controlador de dominio y al punto final ingresando con �xito.

En la siguiente fase, los cibercriminales llevaron a cabo acciones de reconocimiento del sistema y descubrimiento de la red para mapear la infraestructura, y ejecutaron herramientas como Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe y SharpDecryptPwd para facilitar la recopilaci�n de credenciales de diversas aplicaciones y filtrar los datos a un servidor SMTP externo utilizando un script de Visual Basic.

"Los comandos ejecutados a trav�s de Mimikatz se dirig�an a una serie de datos confidenciales y funciones del sistema, entre los que se inclu�an borrar los registros de eventos de Windows, habilitar SeDebugPrivilege, extraer contrase�as guardadas de la base de datos SQLite de Chrome, recuperar credenciales de inicios de sesi�n anteriores y recopilar credenciales y datos de configuraci�n relacionados con RDP, SSH y Citrix", afirm� Talos.

Un an�lisis m�s detallado ha revelado que el autor de la amenaza utiliz� mspaint.exe, notepad.exe e iexplore.exe para inspeccionar archivos en busca de informaci�n confidencial, as� como una herramienta leg�tima llamada Cyberduck para transferir archivos de inter�s a un servidor remoto, al tiempo que ocultaba la actividad maliciosa.

Se ha descubierto que las credenciales sustra�das permiten la escalada de privilegios y el movimiento lateral, abusando del acceso elevado para instalar m�ltiples herramientas de supervisi�n y gesti�n remota (RMM) como AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist y ScreenConnect. Talos afirm� que no pod�a concluir de forma definitiva si los programas se utilizaron para el movimiento lateral.

Para evitar ser detectado, la cadena de ataque implica la ejecuci�n de comandos PowerShell para desactivar AMSI, desactivar la validaci�n de certificados TLS y habilitar la administraci�n restringida, adem�s de ejecutar herramientas como dark-kill y HRSword para eliminar el software de seguridad. Tambi�n se implementan en el host Cobalt Strike y SystemBC para un acceso remoto persistente.

La infecci�n culmina con el lanzamiento del ransomware Qilin, que cifra los archivos y deja una nota de rescate en cada carpeta cifrada, pero no sin antes borrar los registros de eventos y eliminar todas las instant�neas mantenidas por el Servicio de instant�neas de volumen (VSS) de Windows.

Los hallazgos coinciden con el descubrimiento de un sofisticado ataque Qilin que despleg� su variante de ransomware para Linux en sistemas Windows y lo combin� con la t�cnica traiga su propio controlador vulnerable (BYOVD) y herramientas inform�ticas leg�timas para eludir las barreras de seguridad.

"Los atacantes hicieron un uso indebido de herramientas leg�timas, concretamente instalando AnyDesk a trav�s de la plataforma de supervisi�n y gesti�n remota (RMM) de Atera Networks y ScreenConnect para la ejecuci�n de comandos. Abusa de Splashtop para la ejecuci�n final del ransomware", afirm� Trend Micro.

"Se centraron espec�ficamente en la infraestructura de copia de seguridad de Veeam utilizando herramientas especializadas de extracci�n de credenciales, recopilando sistem�ticamente credenciales de m�ltiples bases de datos de copia de seguridad para comprometer las capacidades de recuperaci�n ante desastres de la organizaci�n antes de desplegar la carga �til del ransomware".

Adem�s de utilizar cuentas v�lidas para acceder a las redes objetivo, algunos ataques selectos han empleado p�ginas falsas de CAPTCHA de tipo spear-phishing y ClickFix alojadas en la infraestructura Cloudflare R2 para activar la ejecuci�n de cargas maliciosas. Se estima que estas p�ginas proporcionan a los cibercriminales informaci�n necesarios para recopilar credenciales que luego se utilizan para obtener acceso inicial.

Algunas de las medidas cruciales adoptadas por los cibercriminales son las siguientes:

Implementaci�n de una DLL de proxy SOCKS para facilitar el acceso remoto y la ejecuci�n de comandos.
Uso indebido de las capacidades de gesti�n remota de ScreenConnect para ejecutar comandos de detecci�n y herramientas de an�lisis de red con el fin de identificar posibles objetivos de movimiento lateral.
Ataque a la infraestructura de copia de seguridad de Veeam para recopilar credenciales.
Uso del controlador �eskle.sys� como parte de un ataque BYOVD para desactivar soluciones de seguridad, terminar procesos y evadir la detecci�n.
Implementaci�n de clientes SSH PuTTY para facilitar el movimiento lateral a sistemas Linux.
Uso de instancias de proxy SOCKS en varios directorios del sistema para ocultar el tr�fico de comando y control (C2) mediante la puerta trasera COROXY.
Uso de WinSCP para la transferencia segura de archivos del binario del ransomware Linux al sistema Windows.
Uso del servicio de gesti�n de Splashtop Remote (SRManager.exe) para ejecutar el binario del ransomware Linux directamente en sistemas Windows.

"El binario del ransomware para Linux ofrec�a capacidad multiplataforma, lo que permit�a a los cibercriminales afectar tanto a los sistemas Windows como a los Linux del entorno utilizando una �nica carga �til", se�alaron los investigadores de Trend Micro.

"Las muestras actualizadas incorporaban la detecci�n de Nutanix AHV, ampliando el objetivo para incluir plataformas de infraestructura hiperconvergente. Esto demostr� la adaptaci�n de los autores de las amenazas a los entornos de virtualizaci�n empresariales modernos m�s all� de las implementaciones tradicionales de VMware".

Fuente: thehackernews