Qilin: El peligroso ransomware que reutiliza phishing y vuelve a atacar

El ransomware “Qilin” estuvo dando problemas a usuarios robando las credencias de Google Chrome en septiembre pasado, y ahora vuelve a levantar alarmas, porque reaparece mediante un sofisticado ataque de phishing.

Este phishing, según destaca Sophos, compromete credenciales administrativas y culmina en una ofensiva directa contra proveedores de servicios gestionados (MSP) y sus clientes.

La firma de ciberseguridad señala que el malware, fue detectado recientemente por ellos, que rastrea un patrón de actividad que se remonta al menos a tres años.

El peligroso Ransomware Qilin puede robarle sus credenciales almacenadas en Google Chrome

Este conocido Ransomware del sector se interesa por las contraseñas de sitios de terceros

TabuladoFrancisco Carrasco M.

El incidente comenzó cuando el administrador de un MSP recibió un correo de phishing cuidadosamente diseñado, disfrazado como una alerta de autenticación de su herramienta de gestión remota, ScreenConnect.

El vínculo adjunto, dirigía hacia un sitio que creaba un entorno de inicio de sesión, similar al original, que permite interceptar las credenciales de los atacantes, junto con la autentificación multifactorial (MFA). Esto permitía que los hackers se autenticaran con éxito en la herramienta, ganando control total, y posteriormente pudieran desplegar el ransomware “Qilin”.

Las tácticas utilizadas replican técnicas vistas desde 2022:

• Creación de dominios falsos,
• Recopilación de credenciales y cookies de sesión,
• Evasión de MFA.

Además, Sophos señala que, la infraestructura de origen del ataque, así como los patrones de dominio hasta las herramientas, coincide con campañas anteriores, confirmando la persistencia del grupo.

“Qilin”, que antes operaba bajo el nombre “Agenda”, es un ransomware como servicio (RaaS) que ha ganado notoriedad por su modelo de afiliación y por emplear un sitio en la red Tor para extorsionar a las víctimas.

En 2025, ha ampliado su alcance al ser utilizado incluso por actores estatales, como el grupo norcoreano “Moonstone Sleet”, según Microsoft Threat Intelligence.

Moonstone Sleet emerges as new North Korean threat actor with new bag of tricks | Microsoft Security Blog

Microsoft has identified a new North Korean threat actor, now tracked as Moonstone Sleet (formerly Storm-1789), that combines many tried-and-true techniques used by other North Korean threat actors, as well as unique attack methodologies to target companies for its financial and cyberespionage objectives.

Microsoft Security BlogMicrosoft Threat Intelligence

Sophos advierte sobre la creciente exposición de los MSP, que por su rol crítico suelen ser puntos de entrada privilegiados para ataques masivos, sobre este punto ellos recomiendan:

• Proteger las herramientas de gestión remota,
• Implementar controles para evitar reinicios en modo seguro sin protección de endpoints
• Reforzar la protección contra el robo de credenciales, especialmente en procesos con MFA.

Los clientes de Sophos pueden mitigar este tipo de ataques habilitando las mejoras de protección activa disponibles en Sophos Central, dentro de las políticas de protección contra amenazas de endpoints y servidores.

Hackers filtran aproximadamente 187 gigabytes de información privada perteneciente a Megacentro

El grupo de ransomware Hunters International ha filtrado en la dark web aproximadamente 187 gigabytes de información privada perteneciente a Megacentro

PisapapelesPisapapeles