Surge nueva variante del ransomware Qilin.B que mejora las tácticas de cifrado y evasión – Masterhacks Blog

Surge nueva variante del ransomware Qilin.B que mejora las tácticas de cifrado y evasión

Investigadores de ciberseguridad han identificado una versión más avanzada del ransomware Qilin, que presenta un mayor nivel de sofisticación y nuevas tácticas para evitar ser detectado.

Esta nueva variante está siendo monitorizada por la firma de ciberseguridad Halcyon bajo el nombre Qilin.B.

«Es destacable que Qilin.B ahora implemente el cifrado AES-256-CTR en sistemas con soporte para AESNI, aunque sigue utilizando Chacha20 en aquellos que no lo tienen», explicó el equipo de investigación de Halcyon en un informe.

«Además, el cifrado de claves se protege mediante RSA-4096 con relleno OAEP, lo que hace imposible descifrar los archivos sin la clave privada del atacante o sin los valores de semilla capturados».

Qilin, también conocido como Agenda, fue identificado por primera vez por la comunidad de ciberseguridad en julio/agosto de 2022. Las primeras versiones estaban desarrolladas en Golang, pero luego migraron a Rust.

Un informe de Group-IB, publicado en mayo de 2023, reveló que el esquema de ransomware como servicio (RaaS) permite a sus afiliados quedarse con entre el 80% y el 85% de los pagos de rescate, después de infiltrarse en el grupo y contactar con un reclutador de Qilin.

En los ataques más recientes vinculados a esta operación, se robaron credenciales almacenadas en navegadores Google Chrome de un pequeño número de dispositivos comprometidos, lo que marca un cambio en comparación con los típicos ataques de doble extorsión.

Las muestras de Qilin.B analizadas por Halcyon indican que esta versión se basa en iteraciones previas, añadiendo capacidades de cifrado más avanzadas y mejores tácticas operativas.

Entre sus características, utiliza AES-256-CTR o Chacha20 para el cifrado, además de implementar medidas para dificultar el análisis y la detección, como detener servicios relacionados con herramientas de seguridad, limpiar continuamente los registros de eventos de Windows y eliminarse a sí mismo.

También tiene funciones para finalizar procesos asociados con servicios de respaldo y virtualización, como Veeam, SQL y SAP, así como eliminar copias de seguridad en sombra, lo que complica las tareas de recuperación.

«La combinación de mecanismos de cifrado mejorados, tácticas de evasión de defensa eficaces y la interrupción constante de los sistemas de respaldo hace que Qilin.B sea una variante de ransomware especialmente peligrosa», dijo Halcyon.

La evolución constante de las tácticas empleadas por los grupos de ransomware pone de manifiesto la persistencia de esta amenaza.

Un ejemplo de ello es el descubrimiento de un nuevo conjunto de herramientas basadas en Rust, que se ha utilizado para distribuir el nuevo ransomware Embargo. Antes de ejecutarse, desactiva las soluciones de detección y respuesta en los dispositivos afectados utilizando la técnica «Llevar tu propio controlador vulnerable» (BYOVD).

Tanto el eliminador de EDR, llamado MS4Killer por ESET debido a su similitud con la herramienta de código abierto s4killer, como el ransomware, son ejecutados mediante un cargador malicioso conocido como MDeployer.

«MDeployer es el cargador malicioso principal que Embargo intenta desplegar en las máquinas de la red comprometida, facilitando el resto del ataque, que termina en la ejecución del ransomware y el cifrado de archivos. Se espera que MS4Killer se ejecute indefinidamente», explicaron los investigadores Jan Holman y Tomáš Zvara.

«Tanto MDeployer como MS4Killer están desarrollados en Rust. Esto también se aplica a la carga útil del ransomware, lo que sugiere que Rust es el lenguaje preferido por los desarrolladores del grupo».

Según datos proporcionados por Microsoft, 389 instituciones de salud en los Estados Unidos han sido víctimas de ataques de ransomware en este año fiscal, lo que ha provocado pérdidas de hasta $900,000 diarios debido al tiempo de inactividad. Algunos de los grupos de ransomware conocidos por atacar hospitales incluyen Lace Tempest, Sangria Tempest, Cadenza Tempest y Vanilla Tempest.

«De las 99 organizaciones de salud que reconocieron haber pagado el rescate y revelaron la suma pagada, el pago mediano fue de $1.5 millones, mientras que el promedio alcanzó los $4.4 millones», indicó la empresa tecnológica.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *