Microsoft dice que la banda cibercriminal Scattered Spider ha agregado el ransomware Qilin a su arsenal y ahora lo está utilizando en sus ataques.
“En el segundo trimestre de 2024, Octo Tempest, nuestro actor de amenazas de ransomware más rastreado, agregó RansomHub y Qilin a sus cargas útiles de ransomware en sus campañas”. microsoft dijo Lunes.
Después de surgir a principios de 2022, este grupo de amenazas (también conocido como Octo Tempest, UNC3944 y 0ktapus) ganó notoriedad tras su campaña 0ktapus dirigida a más de 130 organizaciones líderes, incluidas Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games y Best Buy.
La pandilla de habla inglesa también cifró los sistemas de MGM Resorts después de unirse al ransomware BlackCat/ALPHV como afiliado a mediados de 2023 y Symantec la vinculó al RansomHub, ransomware como servicio.
En noviembre, el FBI y CISA publicaron un aviso destacando las tácticas, técnicas y procedimientos (TTP) de Scattered Spider. Estos incluyen hacerse pasar por empleados de TI para engañar al personal de servicio al cliente para que les proporcionen credenciales u obtengan persistencia en las redes de los objetivos utilizando herramientas antimonopolio.
Otras tácticas que se sabe que utilizan para el acceso inicial a la red incluyen el phishing, el bombardeo MFA (también conocido como fatiga MFA) y el intercambio de SIM.
La operación de ransomware Qilin a la que acaba de unirse Scattered Spider apareció en agosto de 2022 con el nombre de “Agenda”, pero pasó a llamarse Qilin un mes después.
En los últimos dos años, la pandilla Qilin ha reclamado más de 130 empresas en su sitio de filtración en la web oscura; sin embargo, sus operadores no estuvieron activos hasta que los ataques se reanudaron cerca de finales de 2023.
Desde diciembre de 2023, Qilin también ha estado desarrollando uno de los cifradores de Linux más avanzados y personalizables para apuntar a las máquinas virtuales VMware ESXi, que las empresas prefieren por sus necesidades de recursos livianos.
Como muchos otros grupos de ransomware dirigidos a empresas, los operadores de Qilin se infiltran en las redes de una empresa y extraen datos a medida que avanzan por los sistemas de la víctima.
Después de obtener las credenciales de administrador y recopilar todos los datos confidenciales, implementan las cargas útiles de ransomware para cifrar todos los dispositivos de red y explotar los datos robados para llevar a cabo ataques de doble extorsión.
Hasta ahora, BleepingComputer ha visto demandas de rescate por Qilin que van desde 25.000 dólares hasta millones de dólares, dependiendo del tamaño de la víctima.
El mes pasado, el director ejecutivo del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido vinculó a Qilin con un ataque de ransomware que afectó al proveedor de servicios de patología Synnovis a principios de junio y afectó a varios hospitales importantes del NHS en Londres, lo que obligó a cancelar cientos de operaciones y equipo.
