Por Mid 
Qilin Ransomware: El Ataque Híbrido que Desactiva Defensas con Linux y Drivers Vulnerables (BYOVD)
Tiempo estimado de lectura: 8 minutos | Dificultad técnica: Alta
Conclusiones clave
- Qilin utiliza un sofisticado enfoque híbrido que combina ransomware para Linux y explotación de drivers vulnerables.
- Ha alcanzado más de 40 incidentes al mes asegurando un récord de 100 ataques reportados en junio de 2025.
- Los ataques se dirigen principalmente a sectores críticos como manufactura, servicios profesionales y comercio mayorista.
- La infraestructura de respaldo, especialmente Veeam, es un objetivo clave en sus tácticas.
- El uso de técnicas avanzadas de evasión de detección hace que la defensa sea extremadamente desafiante para las organizaciones.
Índice
Introducción
El grupo de Ransomware-as-a-Service (RaaS) conocido como Qilin (también denominado Agenda) ha emergido como una de las amenazas más notables en el ámbito del ransomware. Con ataques a más de 40 organizaciones cada mes durante 2025, el grupo ha demostrado su capacidad para evadir detección y comprometer infraestructuras críticas.
Metodología de ataque de Qilin
Los afiliados de Qilin generalmente obtienen acceso inicial mediante credenciales administrativas filtradas en la dark web. Utilizan interfaces VPN y establecen conexiones RDP a controladores de dominio. Su enfoque inicial implica un extenso reconocimiento de la red y la recopilación de credenciales.
Utilizan herramientas como Mimikatz, WebBrowserPassView.exe y SharpDecryptPwd para extraer credenciales de diferentes aplicaciones, incluyendo contraseñas almacenadas en Chrome y RDP. Además, realizan la exfiltración de datos sensibles usando scripts de Visual Basic y herramientas legítimas como mspaint.exe y Cyberduck.
Aspectos clave del ataque
La sofisticación de Qilin se manifiesta en la combinación de tres elementos esenciales:
- BYOVD (Bring Your Own Vulnerable Driver): Uso de un driver legítimo llamado «eskle.sys» para desactivar la seguridad y eliminar registros de eventos, lo cual impide la recuperación del sistema.
- Payload de Linux en Windows: Transferencia y ejecución de un binario de ransomware diseñado para Linux en sistemas Windows, creando una capacidad multiplataforma para el ataque.
- Ataque a la Infraestructura de Respaldo (Veeam): Acceso a credenciales de infraestructura de respaldo para comprometer la recuperación ante desastres antes de la implementación del ransomware.
Recomendaciones
- Reforzar la Seguridad de Backups: Implementar la regla 3-2-1 y asegurar el almacenamiento en formatos inmutables o air-gapped.
- Monitoreo de Drivers: Detectar el uso de drivers vulnerables y el mal uso de herramientas RMM.
- MFA y Privilegio Mínimo: Requerir autenticación multifactor y restringir accesos de acuerdo al principio de mínimo privilegio.
- Capacitación de Empleados: Mejorar la capacitación en spear-phishing y reconocimiento de sitios fraudulentos.
Referencias
- Cisco Talos: Análisis de ransomware
- Trend Micro: Investigación sobre ciberamenazas
- Brookings Institute: Cómo funciona el ransomware