Qilin emplea un modelo RaaS para distribuir su ransomware basado en Rust. Realiza doble extorsión, exfiltrando datos antes del cifrado masivo de sistemas. Explota vulnerabilidades en aplicaciones públicas y abusa de RDP para el acceso inicial. Utiliza Cobalt Strike para C2 y herramientas como Rclone para la exfiltración de datos. Busca eliminar backups y desactivar recuperación para asegurar el pago del rescate.
Cronología y evolución
-
Finales de 2022: Aparición inicial como ‘Agenda’ y enfoque en organizaciones de salud. El grupo emergió con el nombre de Agenda, utilizando un payload de ransomware. Sus operaciones iniciales se centraron predominantemente en el sector de la salud, buscando explotar la criticidad de los sistemas y la urgencia de la recuperación. Esto les permitió probar y refinar sus TTPs en entornos de alta presión.
-
Principios de 2023: Rebranding a Qilin y adopción del payload de Rust. El grupo cambió oficialmente su nombre a Qilin, marcando una evolución significativa. Introdujeron un nuevo payload de ransomware escrito en Rust, ofreciendo mayor flexibilidad y capacidades de evasión. Esta transición también implicó la adopción de un modelo RaaS más formal.
-
Mediados de 2023: Desarrollo y despliegue de variantes para Linux y ESXi. Qilin expandió su arsenal con variantes específicas para entornos Linux y VMware ESXi. Esta capacidad les permitió atacar infraestructuras de virtualización críticas, aumentando el impacto potencial. La focalización en ESXi demuestra una sofisticación creciente para deshabilitar las copias de seguridad y la recuperación de VMs.
-
Finales de 2023: Aumento de la actividad y enfoque en grandes empresas. El grupo intensificó sus operaciones, dirigiéndose a organizaciones más grandes y con mayores ingresos. Refinaron sus técnicas de acceso inicial y exfiltración, buscando maximizar los pagos de rescate. Esta fase demostró una mayor madurez operativa y una estrategia de victimización más agresiva.
Resumen del ataque
| Fase | Descripción |
|---|---|
| Acceso inicial | Obtiene acceso inicial explotando vulnerabilidades en software expuesto a internet, como FortiOS SSL-VPN (CVE-2022-42475). |
| Acceso a credenciales | Una vez dentro, el grupo Qilin utiliza herramientas como Mimikatz para volcar credenciales de LSASS. También buscan credenciales en bases de datos internas no seguras y cachés de navegadores. |
| Persistencia y evasión | Establece persistencia mediante la creación de nuevas tareas programadas para ejecutar el ransomware o balizas de C2. |
| Movimiento lateral | Para el movimiento lateral, Qilin abusa de protocolos estándar como SMB y RDP con credenciales comprometidas. |
| Exfiltración | La exfiltración de datos es una fase crítica de la doble extorsión de Qilin. |
| Cifrado | El ransomware de Qilin utiliza una combinación de cifrado simétrico y asimétrico. Emplea ChaCha20 para el cifrado rápido de archivos individuales. |
| Impacto y destrucción | El impacto se maximiza eliminando las copias de seguridad y los puntos de restauración del sistema. |
Acceso inicial
Obtiene acceso inicial explotando vulnerabilidades en software expuesto a internet, como FortiOS SSL-VPN (CVE-2022-42475). También aprovecha el acceso a RDP expuestos a internet, a menudo mediante fuerza bruta o credenciales robadas. El phishing dirigido para obtener credenciales válidas es otro vector común, facilitado por brokers de acceso inicial.
Acceso a credenciales
Estas credenciales permiten un movimiento lateral más fácil y la elevación de privilegios dentro del dominio.
Persistencia y evasión
Establece persistencia mediante la creación de nuevas tareas programadas para ejecutar el ransomware o balizas de C2. Modifican claves de registro para autoarrancar sus ejecutables en el inicio del sistema. La creación de cuentas de usuario locales con privilegios elevados también es un método común.
Movimiento lateral
Emplean herramientas como PsExec para ejecutar cargas útiles en sistemas remotos de manera eficiente. El acceso SSH a hosts ESXi también se utiliza para comprometer la infraestructura virtual.
Exfiltración
La exfiltración de datos es una fase crítica de la doble extorsión de Qilin. Utilizan Rclone para sincronizar grandes volúmenes de datos con servicios de almacenamiento en la nube, como MEGA o Dropbox. También pueden establecer servidores de staging temporales controlados por el atacante. El objetivo es obtener información sensible para aumentar la presión sobre la víctima.
Cifrado
El cifrador de Qilin implementa un modelo de cifrado híbrido multihilo para maximizar la velocidad de impacto, protegiendo los datos mediante algoritmos simétricos como AES-256 o ChaCha20, mientras que el intercambio de claves se resguarda con RSA-2048 o RSA-4096. Dependiendo de la variante (Windows, Linux o VMware ESXi), el malware emplea modos de cifrado parcial u optimizado con protección contra interrupciones en el flujo de archivos.
Una clave pública RSA-4096 se utiliza para cifrar la clave ChaCha20 de cada archivo. Esto hace la recuperación sin la clave privada del atacante prácticamente imposible.
Impacto y destrucción
El impacto se maximiza eliminando las copias de seguridad y los puntos de restauración del sistema. El grupo ejecuta vssadmin.exe delete shadows y wmic shadowcopy delete para erradicar las instantáneas de volumen. Desactivan la recuperación de Windows con bcdedit /set {default} recoveryenabled No. Esto asegura que las víctimas no puedan restaurar archivos desde copias locales.
Víctimas y geografía
Las víctimas de Qilin se distribuyen globalmente, con una alta concentración en América del Norte y Europa. El grupo selecciona objetivos con altos ingresos, independientemente del sector. No muestran una preferencia geográfica específica, sino una focalización en la capacidad de pago. Este enfoque maximiza la probabilidad de éxito en la extorsión.
Fuentes
- SentinelOne — Qilin Ransomware: Unveiling The Linux/ESXi Threat
- BleepingComputer — Qilin Ransomware hits multiple companies
Sectores Objetivo
Sectores de actividad en los que el grupo Qilin ha concentrado sus ataques.
El grupo busca instituciones de salud por la criticidad de sus sistemas. Los datos de pacientes son altamente sensibles y valiosos en el mercado negro. Interrumpir servicios de atención médica presiona a las víctimas para pagar rápidamente.
Las empresas de manufactura son objetivos por su dependencia de los sistemas operativos. La interrupción de la producción genera pérdidas económicas masivas y urgencia. Buscan propiedad intelectual y datos de diseño para la exfiltración.
Las instituciones educativas albergan grandes volúmenes de datos personales de estudiantes y personal. Además, sus presupuestos pueden ser limitados, lo que las hace vulnerables. La interrupción de las operaciones académicas crea una presión inmediata.
El sector financiero es atractivo por la riqueza y la sensibilidad de la información. Qilin busca acceder a datos bancarios, inversiones y registros de clientes. Un ataque exitoso puede tener un impacto reputacional devastador.
Las empresas de tecnología son atacadas por su propiedad intelectual y bases de código. El grupo intenta robar secretos comerciales y datos de desarrollo. La interrupción de los servicios tecnológicos puede afectar a numerosos clientes downstream.
Las firmas de abogados manejan información confidencial de clientes, incluyendo acuerdos y estrategias. Qilin busca estos datos altamente sensibles para extorsión. El compromiso de tales datos puede tener graves consecuencias legales y reputacionales.
Detection & Response Rules
Reglas listas para importar en SentinelOne XDR. Contacta con nosotros para acceso completo al repositorio actualizado.
Esta regla detecta la ejecución del binario Mimikatz o sus componentes renombrados. La ejecución de Mimikatz es un fuerte indicador de intento de robo de credenciales. La detección temprana es crucial para prevenir la escalada.
event.type = 'Process Creation' AND (tgt.process.name in ('mimikatz.exe', 'mimi.exe', 'procdump.exe') OR tgt.process.cmdline contains:anycase ('lsass' AND 'full'))Detecta la ejecución de Rclone desde ubicaciones inusuales o con argumentos de exfiltración. El uso de Rclone para enviar grandes volúmenes de datos a destinos en la nube es sospechoso. Esta regla ayuda a identificar la exfiltración activa de datos.
event.type = 'Process Creation' AND tgt.process.name = 'rclone.exe' AND tgt.process.cmdline contains Any Case Insensitive ('copy', 'sync', 'mega:', 'dropbox:', 'onedrive:', 's3:')Monitorea la creación de nuevas tareas programadas que ejecutan scripts o binarios sospechosos. Los atacantes de Qilin utilizan tareas programadas para mantener el acceso. Esta regla identifica la creación de mecanismos de persistencia.
event.type = 'Process Creation' AND tgt.process.name = 'schtasks.exe' AND tgt.process.cmdline contains Any Case Insensitive ('/create', '/sc', '/tn', '/tr') AND tgt.process.cmdline contains Any Case Insensitive ('.exe', '.dll', '.ps1')Detecta la ejecución del comando `vssadmin.exe delete shadows` o similar. Este comando es comúnmente utilizado por ransomware para evitar la recuperación de archivos. Su detección es crítica para identificar la fase final de un ataque.
event.type = 'Process Creation' AND tgt.process.name = 'vssadmin.exe' AND tgt.process.cmdline contains Any Case Insensitive ('delete', 'shadows')Identifica la ejecución de PsExec para mover y ejecutar código en sistemas remotos. Qilin utiliza esta herramienta para distribuir su carga útil. La detección ayuda a contener la propagación del ransomware.
event.type = 'Process Creation' AND tgt.process.name = 'psexec.exe' AND tgt.process.cmdline contains Any Case Insensitive ('\\', '-s', '-accepteula')Esta regla detecta la ejecución del binario 'netscan.exe' o 'spns.exe' de SoftPerfect. El grupo Qilin lo utiliza para el reconocimiento de red interno. Su presencia en la red de un cliente suele ser anómala y sugiere actividad maliciosa.
event.type = 'Process Creation' AND tgt.process.name in ('netscan.exe', 'spns.exe') AND tgt.file.path contains Any Case Insensitive ('SoftPerfect')