Los ataques de ransomware no solo siguen evolucionando, sino que se están volviendo más agresivos y sofisticados. Recientemente, ha aparecido una nueva versión del ransomware Qilin, llamada Qilin.B, escrita en Rust. Esta variante trae consigo un cifrado más robusto, técnicas mejoradas para esquivar las herramientas de seguridad y la capacidad de interrumpir los mecanismos de recuperación de datos. Investigadores de seguridad han identificado esta amenaza y ya han compartido indicadores de compromiso (IoCs) para facilitar su detección temprana
Ransomware Qilin Actualiza su Encriptador
La nueva versión del ransomware Qilin.B ha mejorado su encriptador, y ahora utiliza AES-256-CTR con soporte para AESNI en CPUs compatibles, lo que acelera considerablemente el proceso de cifrado. Para sistemas más antiguos o con hardware que no soporta AESNI, Qilin.B sigue utilizando ChaCha20, asegurando un cifrado fuerte, sin importar la potencia del equipo.
Además, el malware incorpora RSA-4096 con relleno OAEP para proteger la clave de cifrado, lo que prácticamente hace imposible descifrar los archivos sin la clave privada o los valores semilla.
Una vez que el ransomware se ejecuta, Qilin.B añade una clave en el Registro de Windows para mantenerse activo y cierra varios procesos clave que podrían interrumpir el cifrado o ayudar en la recuperación de datos. Entre los servicios que detiene están:
- Veeam (herramientas de backup)
- Servicio de instantáneas de volumen de Windows (restauración del sistema)
- SQL (bases de datos empresariales)
- Sophos (antivirus)
- Acronis Agent (servicios de backup)
- SAP (gestión empresarial)
Además, el ransomware borra las instantáneas de volumen para que no se pueda restaurar fácilmente el sistema y limpia los registros de eventos de Windows para dificultar el análisis forense. Al finalizar, el propio archivo del ransomware se borra automáticamente para eliminar cualquier rastro.
Qilin.B ataca tanto archivos locales como en redes compartidas y deja notas de rescate en cada directorio afectado, personalizadas con el ID de la víctima.
Nota de rescate de Qilin
Para ampliar su alcance, Qilin.B ajustó el Registro de Windows con una entrada que permite compartir unidades de red entre procesos con permisos elevados y normales, facilitando aún más la propagación dentro de la red.
Aunque estas características no son nuevas en el mundo del ransomware, su combinación puede causar un daño considerable, especialmente cuando se suman a las herramientas de grupos de cibercriminales conocidos por sus ataques devastadores.
Un ejemplo claro: en agosto, se descubrió que Qilin también utiliza un ladrón de información personalizado para robar credenciales almacenadas en el navegador Google Chrome. Esto no solo le permite atacar redes completas, sino también regresar a sistemas previamente comprometidos incluso después de ser limpiados.
No es la primera vez que Qilin causa estragos. Ya ha sido responsable de ataques importantes, como los sufridos por hospitales en Londres, Court Services Victoria en Australia y el gigante automotriz Yanfeng. Además, se sabe que el grupo detrás de este ransomware también utiliza una versión de Linux enfocada en atacar VMware ESXi, aunque la variante de la que hablamos aquí afecta principalmente a sistemas Windows.
Conoce más sobre: Detección de Ataques de Ransomware con Wazuh
Conclusión
El ransomware Qilin es una de esas amenazas que no podemos ignorar. Su encriptación avanzada y trucos para evadir la seguridad, está claro que los cibercriminales siguen afinando sus tácticas. Y sí, los ataques se vuelven cada vez más sofisticados, pero eso no significa que estemos indefensos.
Es clave que las empresas cuenten con una estrategia de ciberseguridad sólida. Mantén tus sistemas actualizados, haz copias de seguridad frecuentes, y usa un buen software de seguridad. Estos son pasos simples que pueden marcar la diferencia. Además, no se trata solo de herramientas: educar a tu equipo y fomentar una cultura de ciberseguridad es fundamental para que todos sepan identificar y evitar amenazas.
Al final del día, la prevención es la mejor manera de defenderse del ransomware. Es mucho más fácil protegerse antes de que pase lo peor que lidiar con las consecuencias después.
¿No sabes por dónde empezar o quieres reforzar tu estrategia de seguridad? ¡Contáctanos! Nuestro equipo de expertos está listo para ayudarte a proteger lo que más importa.
