La compañía de seguridad informática Halcyon ha rastreado recientemente una nueva variante avanzada del software de ransomware conocido como Qilin.B. Esta variante es la última versión del ransomware Qilin (también conocido como Agenda), que hizo su primera aparición en julio de 2022. Qilin.B se enfoca en atacar específicamente sistemas operativos Windows y Linux, utilizando además una táctica de doble extorsión al robar datos antes de cifrarlos.
Según el informe de Halcyon, Qilin.B ha mejorado significativamente en términos de complejidad de cifrado y técnicas de evasión. Esta versión del ransomware utiliza el algoritmo de cifrado AES-256-CTR, que es compatible con sistemas que admiten AESNI, y también utiliza Chacha20 para sistemas que no son compatibles con AESNI. Además, para proteger la clave de cifrado, Qilin.B también utiliza tecnología RSA-4096 y relleno OAEP, lo que hace que sea casi imposible descifrar los archivos sin la clave privada del atacante o el valor de la semilla (seed).
Las características de Qilin.B son las siguientes:
– Qilin.B utiliza la tecnología de cifrado AES-256-CTR, compatible con sistemas que admiten AESNI, y Chacha20 para otros sistemas, y utiliza RSA-4096 y OAEP para proteger la clave de cifrado, lo que hace que sea imposible descifrar los archivos sin la clave privada del atacante.
– Qilin.B está compilado en Rust y es capaz de deshabilitar o eliminar servicios relacionados con la seguridad, copias de seguridad y virtualización, como Veeam, VSS, SQL, Sophos, Acronisagent y SAP.
– Continuamente elimina los registros de eventos de Windows para dificultar el análisis forense, lo que hace que sea más difícil detectarlo y realizar un análisis inverso.
Qilin.B adjunta una cadena configurable a los archivos cifrados para identificar y rastrear a la empresa objetivo, utilizando diferentes técnicas de cifrado según lo que el sistema sea capaz de admitir (AES-256-CTR o Chacha20). Cuando un objetivo es atacado, Qilin.B genera un archivo de rescate llamado “README-RECOVER-[company_id].txt”, que contiene instrucciones de pago y cómo descifrar los archivos.
Aunque Qilin fue inicialmente escrito en Golang, más tarde se cambió al lenguaje de programación Rust, conocido por su capacidad para resistir el análisis inverso. Esta transición ha hecho que Qilin.B sea aún más difícil de detectar y analizar. El ransomware también tiene la capacidad de rastrear e identificar objetivos específicos, y puede deshabilitar servicios de seguridad, eliminar registros de eventos de Windows e incluso autodestruirse después de completar su tarea para reducir las huellas forenses.
Halcyon enfatiza que la aparición de Qilin.B es una señal de la evolución continua de la familia de ransomware, y su cifrado mejorado y estrategias efectivas de evasión lo convierten en una amenaza especialmente peligrosa. Con el constante cambio de tácticas de ataque de estos grupos, es importante que todas las industrias estén alertas y refuercen sus medidas de seguridad para evitar convertirse en la próxima víctima.
De este caso podemos ver cómo las organizaciones de ransomware están constantemente evolucionando sus estrategias y tácticas de ataque, por lo que es crucial mantenerse alerta, observar de cerca las tendencias y tácticas de ataque, y tomar medidas efectivas para prevenir y mitigar la amenaza del ransomware.