El Ransomware “Qilin” nuevamente al acecho: Ataca usando Phishing

La amenaza coincide con un patrón de ataques de tres años de duración rastreado por Sophos MDR.

El Ransomware “Qilin”, que causó estragos el año pasado, mediante el robo de credenciales en Google Chrome, sigue generando preocupación en 2025, luego de un hallazgo del equipo de inteligencia de amenazas de Sophos MDR.

Recientemente, el administrador de un proveedor de servicios gestionados (MSP) recibió un correo electrónico de Phishing bien elaborado que contenía lo que parecía ser una alerta de autenticación para su herramienta de supervisión y gestión remotas (RMM) ScreenConnect. Ese email dio lugar a que los actores del Ransomware “Qilin” obtuvieran acceso a las credenciales y lanzaran ataques a los clientes. 

El ataque utilizó una infraestructura, patrones de nombres de dominio, técnicas, herramientas y prácticas similares a las usadas en otras campañas de Phishing que se remontan a fines de 2022. Esos intentos aprovecharon sitios creados para recopilar credenciales y cookies de sesión y eludir la autenticación multifactor (MFA).

En este caso, como en otros vinculados a este grupo de amenazas, los atacantes utilizaron dominios ScreenConnect falsos para actuar como proxies del proceso de inicio de sesión real. Una vez que el administrador hizo clic en el enlace de inicio de sesión del correo electrónico para revisar la autenticación, fue redirigido a un sitio de phishing malicioso.

Una vez que introdujeron sus credenciales, los atacantes pudieron interceptar esas entradas. Sophos cree que el sitio falso de ScreenConnect reenviaba las entradas al sitio legítimo, para verificarlas y capturar la contraseña de un solo uso enviada al administrador por correo electrónico.

Tras interceptar las entradas de MFA, el atacante se autenticó con éxito, y logró el permiso para hacer cualquier cosa dentro de esta instancia de ScreenConnect. Finalmente, condujo a un ataque desplegando “Qilin”.

¿Qué es “Qilin”?

Es un programa de Ransomware como servicio que opera desde 2022, anteriormente bajo el nombre de «Agenda». El grupo recluta afiliados en foros de ciberdelincuencia en ruso. Según Microsoft Threat Intelligence, los afiliados han crecido este año hasta incluir a un actor estatal norcoreano etiquetado como «Moonstone Sleet». El Ransomware también utiliza un sitio de filtración de datos alojado en Tor para presionar a las víctimas extorsionadas.

Recomendaciones para los defensores

Los MSP dependen en gran medida de software y servicios externos para llevar a cabo tareas operativas para sus clientes. Los operadores de Ransomware se dirigen a estos servicios por la misma razón: se han convertido en un vector cada vez más común para los ataques posteriores a los clientes de los MSP. Por lo tanto, desde Sophos refuerzan que es importante que los MSP y las organizaciones de todos los tamaños que utilizan estos servicios comprendan los factores de riesgo asociados a ellos y tomen medidas para mitigarlos.

Los atacantes con credenciales administrativas válidas y acceso son difíciles de detener, especialmente cuando se trata de la exfiltración de datos. Pero hay medidas que las organizaciones pueden tomar para prevenir el compromiso inicial de credenciales clave y para impedir la ejecución de Ransomware.

En este ataque, el actor configuró los sistemas para que se reiniciaran en modo seguro y así eludir las protecciones de seguridad de los endpoints. Las organizaciones deben implementar protección contra los reinicios de arranque seguro sin protección de endpoints. Los clientes de Sophos pueden hacerlo habilitando las mejoras de ataque activo en Sophos Central a través de las políticas de protección contra amenazas de endpoints y servidores.