Los actores de amenaza detrás del esquema Qilin Ransomware-As-A-Service (RAAS) ahora están ofreciendo asesores legales para los afiliados para presionar más a las víctimas para que pague, ya que el reunión de delitos cibernéticos intensifica su actividad e intenta satisfacer el hueco dejado por sus rivales.
La nueva característica toma la forma de una característica de “abogado de llamadas” en el panel de afiliados, según la compañía israelí de ciberseguridad Cyber y.
El ampliación representa un nuevo resurgimiento del reunión de delitos electrónicos, ya que los grupos de ransomware que alguna vez fueron populares como Lockbit, Black Cat, Ransomhub, Everest y Blacklock han sufrido cesas abruptas, fallas operativas y desafíos. El reunión, todavía rastreado como Gold Feather y Water Galura, ha estado activo desde octubre de 2022.
Los datos compilados de los sitios de fuga web anfibológico administrados por grupos de ransomware muestran que Qilin lideró con 72 víctimas en abril de 2025. En mayo, se estima que está detrás de 55 ataques, lo que lo coloca detrás de Safepay (72) y Cristalera Moth (67). Igualmente es el tercer reunión más activo luego de CL0P y Akira desde el eclosión del año, reclamando un total de 304 víctimas.
“Qilin está por encima del resto con su mercado en rápido aumento adecuado a un ecosistema reflexivo, amplias opciones de soporte para clientes y soluciones sólidas para asegurar ataques de ransomware en extremo específicos y de stop impacto diseñados para exigir pagos sustanciales”, dijo Qualys en un investigación del reunión esta semana.
Hay evidencia que sugiere que los afiliados que trabajan para Ransomhub han migrado a Qilin, contribuyendo al pico en la actividad de ransomware de Qilin en los últimos meses.
“Con una presencia creciente en los foros y rastreadores de actividades de ransomware, Qilin opera una infraestructura técnicamente madura: cargas bártulos integradas en óxido y C, cargadores con características de despreocupación avanzadas y un panel afiliado que ofrece ejecución de modo seguro, propagación de red, virginidad de registros y herramientas de negociación automatizadas”, dijeron los investigadores Mark Tsipershtein y Evgeny Ananin.
“Más allá del malware en sí, Qilin ofrece servicios de spam, almacenamiento de datos a escalera de PB, orientación permitido y un conjunto completo de características operativas, posicionándose no solo como un reunión de ransomware, sino como una plataforma de delito cibernético de servicio completo”.
La disminución y la desaparición de otros grupos se han complementado con nuevas actualizaciones al Panel de Afiliados de Qilin, incorporando una nueva función de protección permitido, un equipo de periodistas internos y la capacidad de realizar ataques distribuidos de denegación de servicio (DDoS). Otra suplemento importante es una aparejo para mandar spam a direcciones de correo electrónico corporativas y números de teléfono.
La expansión de la característica indica un intento por parte de los actores de amenaza de comercializarse como un servicio de delito cibernético completo que va más allá del ransomware.
“Si necesita una consulta permitido con respecto a su objetivo, simplemente haga clic en el pimpollo ‘Convocar abogado’ sito adentro de la interfaz de destino, y nuestro equipo permitido se comunicará con usted en privado para proporcionar apoyo permitido calificado”, dice una traducción traducida de una publicación de foro que anuncia las nuevas capacidades.
“La mera aparición de un abogado en el chat puede ejercitar presión indirecta sobre la empresa y aumentar la cantidad de rescate, ya que las empresas desean evitar los procedimientos legales”.
El ampliación se produce cuando Intrinsec evaluó que al menos un afiliado de Rhysida ha comenzado a usar una utilidad de código franco convocatoria Eye Pyramid C2 probablemente como una aparejo posterior a la compromiso para amparar el golpe a puntos finales comprometidos y entregar cargas bártulos adicionales.
Vale la pena señalar que la pirámide Eye Pyramid C2 se refiere a la misma puerta trasera basada en Python que fue desplegada por actores de amenaza vinculados a la tripulación de Ransomhub en el cuarto trimestre de 2024.
Igualmente sigue un nuevo investigación de los registros de chat Black Puntada filtrados, que ha arrojado luz sobre un actor de amenaza que realizó el mote en serie “Tinker”. Su identidad del mundo efectivo es actualmente desconocida.
Se dice que Tinker, Per Intel 471, es uno de los ayudantes de Tramp de Tramp, el líder del reunión, y se unió a la empresa criminal como un “director creativo” luego de tener una experiencia previa en la ejecución de centros de llamadas, incluso para el ahora desaparecido reunión Conti, y como negociador de Blacksuit (AKA Royal).
“El actor Tinker desempeñó un papel importante en la adquisición de golpe auténtico a las organizaciones”, dijo la compañía de seguridad cibernética. “Las conversaciones filtradas revelan que Tinker analizaría los datos financieros y evaluaría la situación de una víctima antiguamente de las negociaciones directas”.
El actor de amenaza, adicionalmente de realizar investigaciones de código franco para obtener información de contacto para el personal superior de la compañía para extorsionarlos a través de llamadas telefónicas o mensajes, tuvo la tarea de escribir correos electrónicos de phishing diseñados para violar las organizaciones.
Tinker, en particular, todavía se le ocurrió el escena de phishing con sede en los equipos de Microsoft, en el que los atacantes se disfrazarían de un empleado del sección de TI, advirtiendo a las víctimas que están al final de un ataque de spam e instando a los empleados a instalar herramientas de escritorio remotas como Anydesk y otorgarles golpe a sus sistemas.
“Posteriormente de instalar el software RMM, la persona que vehemencia se comunicaría con uno de los probadores de penetración de Black Puntada, que luego se moverían para apoyar el golpe persistente al sistema y el dominio”, dijo Intel 471.
Los mensajes filtrados todavía revelan que Tinker recibió no menos de $ 105,000 en criptomonedas por sus esfuerzos entre el 18 de diciembre de 2023 y el 16 de junio de 2024. Dicho esto, actualmente no está claro para qué reunión pueden estar trabajando.
Los hallazgos coinciden con la extradición de un miembro extranjero de Ryuk de 33 abriles sin nombre del Corro de Ransomware Ryuk a los Estados Unidos por su supuesto papel como corredor de golpe auténtico (IAB) y facilitando el golpe a las redes corporativas. El sospechoso fue arrestado de Kyiv a principios de abril a pedido de la policía de los Estados Unidos.
El miembro “se dedicó a la búsqueda de vulnerabilidades en las redes corporativas de las empresas víctimas”, dijo la Policía Doméstico de Ucrania en un comunicado. “Los datos obtenidos por el hacker fueron utilizados por sus cómplices para planificar y transigir a lugar ataques cibernéticos”.
Las autoridades dijeron que pudieron rastrear al sospechoso luego de un investigación forense de equipos incautados en una redada antedicho que tuvo división en noviembre de 2023 dirigidos a miembros de LockerGoga, Megacortex y Dharma Ransomware Families.
En otros lugares, los oficiales de policía en Tailandia han detenido a varios ciudadanos chinos y otros sospechosos del sudeste oriental luego de asaltar un hotel en Pattaya que se usó como una madriguera de juegos de azar y como oficinas para transigir a lugar operaciones de ransomware.
Se dice que el esquema de ransomware fue administrado por seis ciudadanos chinos, que enviaron enlaces maliciosos a las empresas para infectarlos con ransomware. Los informes de los medios locales dicen que eran empleados de una pandilla de delitos cibernéticos, a quienes se les pagaba para distribuir los enlaces atrapados en las empresas chinas.
La Oficina de Investigación Central de Tailandia (CIB), esta semana, todavía anunció el arresto de más de una docena de extranjeros como parte de la Operación Firestorm por supuestamente establecer una estafa de inversión en serie que defraudó a varias víctimas en Australia llamándolas y engañándolos para que inviertan sus cuartos en bonos a prolongado plazo con una promesa de altos rendimientos.
