Los afiliados se llevan a casa el 85% de los pagos de rescate del ransomware Inside Qilin

Qilin ransomware

Los ataques montados por el grupo hacen uso de correos electrónicos de phishing

Los afiliados de ransomware asociados con el esquema Qilin ransomware-as-a-service (RaaS) ganan entre el 80% y el 85% de cada pago de rescate, según los nuevos hallazgos de Group-IB.

La firma de ciberseguridad dijo que pudo infiltrarse en el grupo en marzo de 2023, descubriendo detalles sobre la estructura de pago de los afiliados y el funcionamiento interno del programa RaaS luego de una conversación privada con un reclutador de Qilin que usa el alias en línea Haise.

"Muchos ataques de ransomware Qilin se personalizan para cada víctima para maximizar su impacto", dijo la compañía con sede en Singapur en un exhaustivo informe. "Para hacer esto, los actores de amenazas pueden aprovechar tácticas como cambiar las extensiones de los nombres de archivo de los archivos cifrados y finalizar procesos y servicios específicos".

Qilin, también conocido como Agenda, fue documentado por primera vez por Trend Micro en agosto de 2022, comenzando como un ransomware basado en Go antes de cambiar a Rust en diciembre de 2022.

La adopción de Rust también es significativa no solo por las capacidades de detección de evasión, sino también por el hecho de que permite a los actores de amenazas apuntar a servidores Windows, Linux y VMware ESXi.

Qilin ransomware

Los ataques montados por el grupo hacen uso de correos electrónicos de phishing que contienen enlaces maliciosos como un medio para obtener acceso inicial y cifrar datos confidenciales, pero no antes de exfiltrarlos como parte de un modelo de doble extorsión.

Se han publicado datos de hasta 12 empresas diferentes en el portal de fuga de datos de Qilin en la dark web entre julio de 2022 y mayo de 2023.

Las víctimas, que abarcan principalmente los sectores de infraestructura crítica, educación y atención médica, se encuentran en Australia, Brasil, Canadá, Colombia, Francia, Japón, Países Bajos, Serbia, Reino Unido y Estados Unidos.

Group-IB dijo que los actores de Qilin también brindan a los afiliados, que son reclutados para identificar objetivos de interés y organizar los ataques, un panel administrativo para supervisar de manera efectiva varias partes de sus operaciones.

"El grupo de ransomware Qilin tiene un panel de afiliados dividido en secciones como Objetivos, Blogs, Rellenos, Noticias, Pagos y Preguntas frecuentes para administrar y coordinar su red de afiliados", dijo el investigador de seguridad Nikolay Kichatov.

Objetivos: una sección para configurar las notas de rescate, los archivos, los directorios y las extensiones que se omitirán, las extensiones que se cifrarán, los procesos que se terminarán y el modo de cifrado, entre otros

Blogs: una sección para que los afiliados creen publicaciones de blog con información sobre las empresas atacadas que no han pagado el rescate.

Stuffers: una sección para que los actores de amenazas creen cuentas para otros miembros del equipo y administren sus privilegios

Noticias: una sección para publicar actualizaciones relacionadas con sus asociaciones de ransomware (actualmente en blanco)

Pagos: una sección que contiene detalles de transacciones, saldos de billeteras de afiliados y opciones para retirar ganancias ilícitas

Preguntas frecuentes: una sección con información de soporte y documentación que detalla los pasos para usar el ransomware

"Aunque el ransomware Qilin ganó notoriedad por apuntar a empresas de sectores críticos, son una amenaza para las organizaciones en todos los verticales", dijo Kichatov.

"Además, el programa de afiliados del operador de ransomware no solo está agregando nuevos miembros a su red, sino que los está armando con herramientas, técnicas e incluso servicios mejorados".