{"id":177221,"date":"2025-04-16T14:46:52","date_gmt":"2025-04-16T17:46:52","guid":{"rendered":"https:\/\/nuevoitsitio1.wpenginepowered.com\/ch\/sin-categoria\/ransomware-ataque-atencion-con-qilin\/"},"modified":"2025-11-21T22:07:40","modified_gmt":"2025-11-22T01:07:40","slug":"ransomware-ataque-atencion-con-qilin","status":"publish","type":"post","link":"https:\/\/www.itsitio.com\/ch\/seguridad\/ransomware-ataque-atencion-con-qilin\/","title":{"rendered":"Un viejo Ransomware vuelve al ataque: atenci\u00f3n con \u201cQilin\u201d"},"content":{"rendered":"

El Ransomware \u201cQilin\u201d<\/strong>, que caus\u00f3 estragos el a\u00f1o pasado, mediante el robo de credenciales en Google Chrome, sigue generando preocupaci\u00f3n en 2025, luego de un hallazgo del equipo de inteligencia de amenazas de Sophos<\/a> MDR.<\/p>\n

Recientemente, el administrador de un proveedor de servicios gestionados (MSP) recibi\u00f3 un correo electr\u00f3nico de Phishing bien elaborado que conten\u00eda lo que parec\u00eda ser una alerta de autenticaci\u00f3n para su herramienta de supervisi\u00f3n y gesti\u00f3n remotas (RMM) ScreenConnect. Ese email dio lugar a que los actores del Ransomwar \u201cQilin\u201d obtuvieran acceso a las credenciales y lanzaran ataques a los clientes.<\/p>\n

El ataque utiliz\u00f3 una infraestructura, patrones de nombres de dominio, t\u00e9cnicas, herramientas y pr\u00e1cticas similares a las usadas en otras campa\u00f1as de Phishing que se remontan a fines de 2022. Esos intentos aprovecharon sitios creados para recopilar credenciales y cookies de sesi\u00f3n y eludir la autenticaci\u00f3n multifactor (MFA).<\/p>\n

\"El
El atacante intercepta las credenciales del administrador mediante un sitio de phishing, eludiendo la autenticaci\u00f3n multifactor (MFA).<\/figcaption><\/figure>\n

En este caso, como en otros vinculados a este grupo de amenazas, los atacantes utilizaron dominios ScreenConnect falsos para actuar como proxies del proceso de inicio de sesi\u00f3n real. Una vez que el administrador hizo clic en el enlace de inicio de sesi\u00f3n del correo electr\u00f3nico para revisar la autenticaci\u00f3n, fue redirigido a un sitio de phishing malicioso.<\/p>\n

Una vez que introdujeron sus credenciales, los atacantes pudieron interceptar esas entradas. Sophos cree que el sitio falso de ScreenConnect reenviaba las entradas al sitio leg\u00edtimo, para verificarlas y capturar la contrase\u00f1a de un solo uso enviada al administrador por correo electr\u00f3nico.<\/p>\n

Tras interceptar las entradas de MFA, el atacante se autentic\u00f3 con \u00e9xito, y logr\u00f3 el permiso para hacer cualquier cosa dentro de esta instancia de ScreenConnect. Finalmente, condujo a un ataque desplegando \u201cQilin\u201d.<\/p>\n

\"Las
Las organizaciones deben implementar protecciones avanzadas y medidas contra reinicios no autorizados para mitigar los riesgos de ataques de ransomware.<\/figcaption><\/figure>\n

\u00bfQu\u00e9 es \u201cQilin\u201d?<\/span><\/h2>\n

Es un programa de Ransomware como servicio que opera desde 2022, anteriormente bajo el nombre de \u00abAgenda\u00bb. El grupo recluta afiliados en foros de ciberdelincuencia en ruso. Seg\u00fan Microsoft Threat Intelligence, los afiliados han crecido este a\u00f1o hasta incluir a un actor estatal norcoreano etiquetado como \u00abMoonstone Sleet\u00bb. El Ransomware tambi\u00e9n utiliza un sitio de filtraci\u00f3n de datos alojado en Tor para presionar a las v\u00edctimas extorsionadas.<\/p>\n

Recomendaciones para los defensores<\/span><\/h2>\n

Los MSP dependen en gran medida de software y servicios externos para llevar a cabo tareas operativas para sus clientes. Los operadores de Ransomware se dirigen a estos servicios por la misma raz\u00f3n: se han convertido en un vector cada vez m\u00e1s com\u00fan para los ataques posteriores a los clientes de los MSP. Por lo tanto, desde Sophos refuerzan que es importante que los MSP y las organizaciones de todos los tama\u00f1os que utilizan estos servicios comprendan los factores de riesgo asociados a ellos y tomen medidas para mitigarlos.<\/p>\n

\"Los
Los ataques cibern\u00e9ticos contin\u00faan evolucionando, destacando la importancia de proteger las credenciales y reforzar las defensas ante amenazas sofisticadas.<\/figcaption><\/figure>\n

Los atacantes con credenciales administrativas v\u00e1lidas y acceso son dif\u00edciles de detener, especialmente cuando se trata de la exfiltraci\u00f3n de datos. Pero hay medidas que las organizaciones pueden tomar para prevenir el compromiso inicial de credenciales clave y para impedir la ejecuci\u00f3n de Ransomware.<\/p>\n

En este ataque, el actor configur\u00f3 los sistemas para que se reiniciaran en modo seguro y as\u00ed eludir las protecciones de seguridad de los endpoints. Las organizaciones deben implementar protecci\u00f3n contra los reinicios de arranque seguro sin protecci\u00f3n de endpoints. Los clientes de Sophos pueden hacerlo habilitando las mejoras de ataque activo en Sophos Central a trav\u00e9s de las pol\u00edticas de protecci\u00f3n contra amenazas de endpoints y servidores.<\/p>\n

Leer m\u00e1s<\/span><\/h3>\n