El ransomware Qilin ocupó el primer puesto en abril de 2025

Iniciado por AXCESS, Mayo 08, 2025, 04:46:58 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Mayo 08, 2025, 04:46:58 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los actores de amenazas vinculados a la familia de ransomware Qilin han utilizado malware conocido como SmokeLoader junto con un cargador compilado en .NET, previamente no documentado y con nombre en código NETXLOADER, como parte de una campaña observada en noviembre de 2024.

"NETXLOADER es un nuevo cargador basado en .NET que desempeña un papel fundamental en los ciberataques", afirmaron los investigadores de Trend Micro Jacob Santos, Raymart Yambot, John Rainier Navato, Sarah Pearl Camiling y Neljorn Nathaniel Aguas en un análisis publicado el miércoles.

"Aunque permanece oculto, despliega sigilosamente cargas útiles maliciosas adicionales, como el ransomware Agenda y SmokeLoader. Protegido por .NET Reactor 6, NETXLOADER es difícil de analizar".

Qilin, también llamado Agenda, ha sido una amenaza de ransomware activa desde que apareció en el panorama de amenazas en julio de 2022. El año pasado, la empresa de ciberseguridad Halcyon descubrió una versión mejorada del ransomware, a la que denominó Qilin.B.

Datos recientes compartidos por Group-IB muestran que las divulgaciones en el sitio web de fugas de datos de Qilin se han más que duplicado desde febrero de 2025, lo que lo convierte en el principal grupo de ransomware en abril, superando a otros actores como Akira, Play y Lynx.

"De julio de 2024 a enero de 2025, las filiales de Qilin no divulgaron más de 23 empresas al mes", declaró la empresa de ciberseguridad singapurense a finales del mes pasado. "Sin embargo, desde febrero de 2025, la cantidad de divulgaciones ha aumentado significativamente, con 48 en febrero, 44 en marzo y 45 en las primeras semanas de abril".

También se dice que Qilin se benefició de la afluencia de afiliados tras el cierre abrupto de RansomHub a principios del mes pasado. Según Flashpoint, RansomHub fue el segundo grupo de ransomware más activo en 2024, cobrándose 38 víctimas en el sector financiero entre abril de 2024 y abril de 2025.

"La actividad del ransomware Agenda se observó principalmente en los sectores de la salud, la tecnología, los servicios financieros y las telecomunicaciones en EE. UU., los Países Bajos, Brasil, India y Filipinas", según datos de Trend Micro del primer trimestre de 2025.

NETXLOADER, según la empresa de ciberseguridad, es un cargador altamente ofuscado diseñado para lanzar cargas útiles de siguiente etapa obtenidas de servidores externos (por ejemplo, "bloglake7[.]cfd"), que luego se utilizan para distribuir los ransomware SmokeLoader y Agenda.

Protegido por .NET Reactor versión 6, también incorpora una serie de trucos para eludir los mecanismos de detección tradicionales y resistir los esfuerzos de análisis, como el uso de técnicas de enganche justo a tiempo (JIT), nombres de métodos aparentemente sin sentido y ofuscación del flujo de control.

"El uso de NETXLOADER por parte de los operadores supone un gran avance en la distribución de malware", declaró Trend Micro. "Utiliza un cargador altamente ofuscado que oculta la carga útil real, lo que significa que es imposible saber qué es realmente sin ejecutar el código y analizarlo en memoria. Ni siquiera el análisis basado en cadenas sirve de ayuda, ya que la ofuscación distorsiona las pistas que normalmente revelarían la identidad de la carga útil".

Se ha descubierto que las cadenas de ataque utilizan cuentas válidas y phishing como vectores de acceso iniciales para instalar NETXLOADER, que a su vez despliega SmokeLoader en el host. El malware SmokeLoader procede a realizar una serie de pasos para evadir la virtualización y el entorno de pruebas, a la vez que finaliza una lista de procesos en ejecución predefinida.

En la etapa final, SmokeLoader establece contacto con un servidor de comando y control (C2) para obtener NETXLOADER, que ejecuta el ransomware Agenda mediante una técnica conocida como carga reflexiva de DLL.

"El grupo de ransomware Agenda evoluciona continuamente añadiendo nuevas funciones diseñadas para causar disrupción", afirmaron los investigadores. "Sus diversos objetivos incluyen redes de dominio, dispositivos montados, sistemas de almacenamiento y VCenter ESXi".

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario