{"id":1708046,"date":"2025-05-08T21:30:33","date_gmt":"2025-05-08T21:30:33","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-ransomware-qilin-se-clasifico-mas-alto-en-abril-de-2025-con-mas-de-45-divulgaciones-de-fuga-de-datos\/"},"modified":"2025-05-08T21:30:39","modified_gmt":"2025-05-08T21:30:39","slug":"el-ransomware-qilin-se-clasifico-mas-alto-en-abril-de-2025-con-mas-de-45-divulgaciones-de-fuga-de-datos","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-ransomware-qilin-se-clasifico-mas-alto-en-abril-de-2025-con-mas-de-45-divulgaciones-de-fuga-de-datos\/","title":{"rendered":"El ransomware Qilin se clasific\u00f3 m\u00e1s alto en abril de 2025 con m\u00e1s de 45 divulgaciones de fuga de datos"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>08 de mayo de 2025<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Inteligencia de amenazas \/ ransomware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Actores de amenaza con lazos con el Qilin<\/strong> ransomware<\/a> La familia ha aprovechado el malware conocido como Smokeloader junto con un cargador .NET compilado previamente indocumentado con nombre en c\u00f3digo NetXLoader como parte de una campa\u00f1a observada en noviembre de 2024.<\/p>\n

“NetXLoader es un nuevo cargador basado en .NET que juega un papel fundamental en los ataques cibern\u00e9ticos”, los investigadores de Trend Micro Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling y Neljorn Nathaniel Aguas dicho<\/a> En un an\u00e1lisis del mi\u00e9rcoles.<\/p>\n

“Mientras est\u00e1 oculto, despliega sigilosamente cargas de \u00fatiles maliciosas adicionales, como el ransomware de la agenda y el smokeloader. Protegido por .NET Reactor 6, NetXLoader es dif\u00edcil de analizar”.<\/p>\n

Qilin, tambi\u00e9n llamado Agenda, ha sido una amenaza activa de ransomware desde que surgi\u00f3 en el panorama de amenazas en julio de 2022. El a\u00f1o pasado, la compa\u00f1\u00eda de ciberseguridad Halcyon descubri\u00f3 una versi\u00f3n mejorada del ransomware que llam\u00f3 Qilin.B.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Los datos recientes compartidos por el grupo-IB muestran que las divulgaciones en el sitio de fuga de datos de Qilin se han m\u00e1s que duplicado desde febrero de 2025, lo que lo convierte en el Grupo de ransomware superior<\/a> Para abril, superando a otros jugadores como Akira, Play y Lynx.<\/p>\n

“Desde julio de 2024 hasta enero de 2025, los afiliados de Qilin no revelaron m\u00e1s de 23 compa\u00f1\u00edas por mes”, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica de Singapur a fines del mes pasado. “Sin embargo, […] Desde febrero de 2025, la cantidad de divulgaciones ha aumentado significativamente, con 48 en febrero, 44 \u200b\u200ben marzo y 45 en las primeras semanas de abril “.<\/p>\n

\"Ransomware<\/a><\/div>\n

Tambi\u00e9n se dice que Qilin se benefici\u00f3 de una afluencia de afiliados despu\u00e9s del abrupto cierre de Ransomhub a principios del mes pasado. Seg\u00fan Flashpoint, Ransomhub fue el El segundo grupo de ransomware activo m\u00e1s<\/a> en 2024, reclamando 38 v\u00edctimas<\/a> en el sector financiero entre abril de 2024 y abril de 2025.<\/p>\n

“La actividad de ransomware de la agenda se observ\u00f3 principalmente en los sectores de salud, tecnolog\u00eda, servicios financieros y telecomunicaciones en los Estados Unidos, los Pa\u00edses Bajos, Brasil, India y Filipinas”, seg\u00fan los datos de Trend Micro del primer trimestre de 2025.<\/p>\n

NetXLoader, dijo la compa\u00f1\u00eda de seguridad cibern\u00e9tica, es un cargador altamente ofuscado que est\u00e1 dise\u00f1ado para lanzar cargas \u00fatiles de pr\u00f3xima etapa recuperadas de servidores externos (por ejemplo, “Bloglake7[.]CFD “), que luego se usan para soltar el cogolla de humo y el ransomware de la agenda.<\/p>\n

Protegido por .NET Reactor versi\u00f3n 6, tambi\u00e9n incorpora un conjunto de trucos para evitar los mecanismos de detecci\u00f3n tradicionales y resistir los esfuerzos de an\u00e1lisis, como el uso de t\u00e9cnicas de enganche justo a tiempo (JIT) y nombres de m\u00e9todos aparentemente sin sentido, y control de flujo de flujo.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

“El uso de NetXLoader por parte de los operadores es un gran avance en la forma en que se entrega el malware”, dijo Trend Micro. “Utiliza un cargador muy ofuscado que oculta la carga \u00fatil real, lo que significa que no puede saber qu\u00e9 es realmente sin ejecutar el c\u00f3digo y analizarlo en la memoria. Incluso el an\u00e1lisis basado en cadenas no ayudar\u00e1 porque la ofuscaci\u00f3n revuelve las pistas que normalmente revelar\u00edan la identidad de la carga \u00fatil”.<\/p>\n

Se ha encontrado que las cadenas de ataque aprovechan las cuentas v\u00e1lidas y el phishing como vectores de acceso iniciales para soltar NetX Loader, que luego implementa Smokeloader en el host. El malware Smokeloader procede a realizar una serie de pasos para realizar la virtualizaci\u00f3n y la evasi\u00f3n de sandbox, al tiempo que termina una lista codificada de procesos de ejecuci\u00f3n.<\/p>\n

En la etapa final, Smokeloader establece contacto con un servidor de comando y control (C2) para obtener NetXLoader, que inicia el ransomware de la agenda utilizando un t\u00e9cnica<\/a> conocido como Carga de DLL reflectante<\/a>.<\/p>\n

“El grupo de ransomware de la agenda est\u00e1 evolucionando continuamente al agregar nuevas caracter\u00edsticas dise\u00f1adas para causar interrupci\u00f3n”, dijeron los investigadores. “Sus diversos objetivos incluyen redes de dominio, dispositivos montados, sistemas de almacenamiento y vCenter ESXi”.<\/p>\n

\u00bfEncontr\u00f3 este art\u00edculo interesante? S\u00e9guenos Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n