Investigación Profunda de Grupos de RansomwareInvestigación 7 - Ransomware QilinRedes [email protected]://shows.acast.com/blueteam-sin-morir-en-el-intentohttps://linkedin.com/company/blue-team-smihttps://x.com/blueteam_smihttps://www.youtube.com/@BlueTeamSMIDonativohttps://buymeacoffee.com/btsmiQilin es un RaaS detectado en 2022 (rebrand de “Agenda”). Migró de Go a Rust/C para aumentar portabilidad y resistencia. Opera mediante un panel de afiliados que compila muestras configurables, administra objetivos y facilita pagos y servicios auxiliares (negociación automatizada, apoyo legal y prensa).Modelo y alcanceAfiliados reciben ~80–85% del rescate; actividad concentrada en objetivos grandes, con fuerte impacto en EE. UU. Sectores principales: servicios profesionales, manufactura, salud, ingeniería y retail.TTPs claveAcceso: servicios remotos expuestos, explotación de CVE (p. ej. Veeam), phishing y cuentas válidas. Ejecución: binarios con verificación de contraseña, scripts y persistencia en arranque. Escalada: volcado de credenciales, robo de tokens y abuso de drivers vulnerables. Movimiento lateral: PsExec/SMB/RDP, ajuste MaxMpxCt y propagación a vCenter/ESXi. Evasión: borrado de logs, parada de EDR, detección de sandboxes y técnicas anti-análisis.Ataque a virtualizaciónIncorpora scripts PowerShell y módulos que deserializan credenciales de vCenter, enumeran hosts ESXi, cambian contraseñas root, habilitan SSH y despliegan cargas en hipervisores; además eliminan snapshots/backups, multiplicando el daño.Mitigación recomendadaDefensa en capas: parcheo prioritario, endurecimiento de VPN/RDP y MFA; segmentación y Zero-Trust; backups inmutables y aisladas; EDR/MDR y SIEM con detección conductual (PowerShell anómalo, vssadmin/wbadmin, transferencias masivas). Control de uso de herramientas administrativas y políticas de drivers; playbooks IR y capacitación.Links:https://www.sans.org/blog/evolution-qilin-raas   https://www.picussecurity.com/resource/blog/qilin-ransomware   https://blackpointcyber.com/blog/qilin-ransomware-and-the-hidden-dangers-of-byovd/   https://cybelangel.com/blog/qilin-ransomware-tactics-attack/   https://www.kelacyber.com/blog/ransomware-threat-actor-profile-qilin/   https://www.kelacyber.com/blog/qilin-ransomware-gang-adopts-ransom-payments-through-affiliates/   https://www.cyfirma.com/research/tracking-ransomware-june-2025/   https://www.secureblink.com/cyber-security-news/nissan-confirms-qilin-ransomware-attack-exposing-4-tb-of-design-data   https://medium.com/@d3lt4labs/analysis-qilin-ransomware-group-1a4b9e28f4c7   https://www.group-ib.com/blog/qilin-ransomware/   https://www.aha.org/system/files/media/file/2024/06/tlp-clear-hc3-threat-profile-qilin-aka-agenda-ransomware-6-18-2024.pdf   https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf   https://www.darktrace.com/blog/a-busy-agenda-darktraces-detection-of-qilin-ransomware-as-a-service-operator   https://www.halcyon.ai/threat-group/scatteredspider   https://www.cyfirma.com/research/tracking-ransomware-march-2025/   https://www.cyfirma.com/news/weekly-intelligence-report-09-may-2025/   https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/   https://www.halcyon.ai/threat-group/qilin   https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a Hosted on Acast. See acast.com/privacy for more information.

Ver todos los episodios