Los actores de amenaza detrás del esquema Qilin Ransomware-As-A-Service (RAAS) ahora están ofreciendo asesores legales para los afiliados para presionar más a las víctimas para que pague, ya que el congregación de delitos cibernéticos intensifica su actividad e intenta guatar el malogrado dejado por sus rivales.
La nueva característica toma la forma de una característica de «abogado de llamadas» en el panel de afiliados, según la compañía israelí de ciberseguridad Cyber y.
El avance representa un nuevo resurgimiento del congregación de delitos electrónicos, ya que los grupos de ransomware que alguna vez fueron populares como Lockbit, Black Cat, Ransomhub, Everest y Blacklock han sufrido cesas abruptas, fallas operativas y desafíos. El congregación, incluso rastreado como Gold Feather y Water Galura, ha estado activo desde octubre de 2022.
Los datos compilados de los sitios de fuga web vago administrados por grupos de ransomware muestran que Qilin lideró con 72 víctimas en abril de 2025. En mayo, se estima que está detrás de 55 ataques, lo que lo coloca detrás de Safepay (72) y Reflejo Moth (67). Igualmente es el tercer congregación más activo a posteriori de CL0P y Akira desde el aparición del año, reclamando un total de 304 víctimas.
«Qilin está por encima del resto con su mercado en rápido aumento oportuno a un ecosistema provecto, amplias opciones de soporte para clientes y soluciones sólidas para certificar ataques de ransomware en extremo específicos y de suspensión impacto diseñados para exigir pagos sustanciales», dijo Qualys en un observación del congregación esta semana.
Hay evidencia que sugiere que los afiliados que trabajan para Ransomhub han migrado a Qilin, contribuyendo al pico en la actividad de ransomware de Qilin en los últimos meses.
«Con una presencia creciente en los foros y rastreadores de actividades de ransomware, Qilin opera una infraestructura técnicamente madura: cargas avíos integradas en óxido y C, cargadores con características de despreocupación avanzadas y un panel afiliado que ofrece ejecución de modo seguro, propagación de red, desenvoltura de registros y herramientas de negociación automatizadas», dijeron los investigadores Mark Tsipershtein y Evgeny Ananin.
«Más allá del malware en sí, Qilin ofrece servicios de spam, almacenamiento de datos a escalera de PB, orientación reglamentario y un conjunto completo de características operativas, posicionándose no solo como un congregación de ransomware, sino como una plataforma de delito cibernético de servicio completo».
La disminución y la desaparición de otros grupos se han complementado con nuevas actualizaciones al Panel de Afiliados de Qilin, incorporando una nueva función de subvención reglamentario, un equipo de periodistas internos y la capacidad de realizar ataques distribuidos de denegación de servicio (DDoS). Otra suplemento importante es una utensilio para destinar spam a direcciones de correo electrónico corporativas y números de teléfono.
La expansión de la característica indica un intento por parte de los actores de amenaza de comercializarse como un servicio de delito cibernético completo que va más allá del ransomware.
«Si necesita una consulta reglamentario con respecto a su objetivo, simplemente haga clic en el mando ‘Clamar abogado’ emplazado internamente de la interfaz de destino, y nuestro equipo reglamentario se comunicará con usted en privado para proporcionar apoyo reglamentario calificado», dice una traducción traducida de una publicación de foro que anuncia las nuevas capacidades.
«La mera aparición de un abogado en el chat puede cultivar presión indirecta sobre la empresa y aumentar la cantidad de rescate, ya que las empresas desean evitar los procedimientos legales».
El avance se produce cuando Intrinsec evaluó que al menos un afiliado de Rhysida ha comenzado a usar una utilidad de código campechano señal Eye Pyramid C2 probablemente como una utensilio posterior a la compromiso para nutrir el llegada a puntos finales comprometidos y entregar cargas avíos adicionales.
Vale la pena señalar que la pirámide Eye Pyramid C2 se refiere a la misma puerta trasera basada en Python que fue desplegada por actores de amenaza vinculados a la tripulación de Ransomhub en el cuarto trimestre de 2024.
Igualmente sigue un nuevo observación de los registros de chat Black Pespunte filtrados, que ha arrojado luz sobre un actor de amenaza que realizó el sobrenombre en sarta «Tinker». Su identidad del mundo verdadero es actualmente desconocida.
Se dice que Tinker, Per Intel 471, es uno de los ayudantes de Tramp de Tramp, el líder del congregación, y se unió a la empresa criminal como un «director creativo» a posteriori de tener una experiencia previa en la ejecución de centros de llamadas, incluso para el ahora desaparecido congregación Conti, y como negociador de Blacksuit (AKA Royal).
«El actor Tinker desempeñó un papel importante en la logro de llegada original a las organizaciones», dijo la compañía de seguridad cibernética. «Las conversaciones filtradas revelan que Tinker analizaría los datos financieros y evaluaría la situación de una víctima antiguamente de las negociaciones directas».
El actor de amenaza, encima de realizar investigaciones de código campechano para obtener información de contacto para el personal superior de la compañía para extorsionarlos a través de llamadas telefónicas o mensajes, tuvo la tarea de escribir correos electrónicos de phishing diseñados para violar las organizaciones.
Tinker, en particular, incluso se le ocurrió el escena de phishing con sede en los equipos de Microsoft, en el que los atacantes se disfrazarían de un empleado del unidad de TI, advirtiendo a las víctimas que están al final de un ataque de spam e instando a los empleados a instalar herramientas de escritorio remotas como Anydesk y otorgarles llegada a sus sistemas.
«Posteriormente de instalar el software RMM, la persona que pasión se comunicaría con uno de los probadores de penetración de Black Pespunte, que luego se moverían para reforzar el llegada persistente al sistema y el dominio», dijo Intel 471.
Los mensajes filtrados incluso revelan que Tinker recibió no menos de $ 105,000 en criptomonedas por sus esfuerzos entre el 18 de diciembre de 2023 y el 16 de junio de 2024. Dicho esto, actualmente no está claro para qué congregación pueden estar trabajando.
Los hallazgos coinciden con la extradición de un miembro extranjero de Ryuk de 33 primaveras sin nombre del Familia de Ransomware Ryuk a los Estados Unidos por su supuesto papel como corredor de llegada original (IAB) y facilitando el llegada a las redes corporativas. El sospechoso fue arrestado de Kyiv a principios de abril a pedido de la policía de los Estados Unidos.
El miembro «se dedicó a la búsqueda de vulnerabilidades en las redes corporativas de las empresas víctimas», dijo la Policía Franquista de Ucrania en un comunicado. «Los datos obtenidos por el hacker fueron utilizados por sus cómplices para planificar y tolerar a parte ataques cibernéticos».
Las autoridades dijeron que pudieron rastrear al sospechoso a posteriori de un observación forense de equipos incautados en una redada preliminar que tuvo punto en noviembre de 2023 dirigidos a miembros de LockerGoga, Megacortex y Dharma Ransomware Families.
En otros lugares, los oficiales de policía en Tailandia han detenido a varios ciudadanos chinos y otros sospechosos del sudeste oriental a posteriori de asaltar un hotel en Pattaya que se usó como una nido de juegos de azar y como oficinas para tolerar a parte operaciones de ransomware.
Se dice que el esquema de ransomware fue administrado por seis ciudadanos chinos, que enviaron enlaces maliciosos a las empresas para infectarlos con ransomware. Los informes de los medios locales dicen que eran empleados de una pandilla de delitos cibernéticos, a quienes se les pagaba para distribuir los enlaces atrapados en las empresas chinas.
La Oficina de Investigación Central de Tailandia (CIB), esta semana, incluso anunció el arresto de más de una docena de extranjeros como parte de la Operación Firestorm por supuestamente dirigir una estafa de inversión en sarta que defraudó a varias víctimas en Australia llamándolas y engañándolos para que inviertan sus moneda en bonos a dispendioso plazo con una promesa de altos rendimientos.
