QILIN: RANSOMWARE CON ASESORAMIENTO LEGAL

El cibercrimen funciona como una verdadera industria, y los grupos de ransomware lo confirman con su alto nivel de organización. Un ejemplo es Qilin, un modelo de ransomware como servicio (RaaS) que incluso brinda asesoría legal a sus afiliados para presionar mejor en las negociaciones de rescate. Este grupo destaca por su actividad reciente, sus métodos de ataque y por ser uno de los más relevantes en los últimos años.

¿De qué se trata el asesoramiento legal del ransomware Qilin?
Los grupos de ransomware como servicio compiten ofreciendo beneficios atractivos a sus afiliados. Qilin se distingue al incluir un botón llamado “Call Lawyer”, que da acceso a asesoría legal para guiar las negociaciones de rescate y aumentar la presión sobre las víctimas. Además, ofrecen apoyo en la redacción de comunicados y publicaciones, usando incluso un equipo de “periodistas” para maximizar el impacto y conseguir mayores ganancias.

Principales características

• Qilin es un grupo de ransomware activo desde 2022, enfocado en sectores como salud, educación y finanzas, con ataques en varios países, incluidos Brasil, Colombia, Francia, Reino Unido y Estados Unidos. Su modelo RaaS cobra entre el 15% y 20% de cada rescate obtenido por sus afiliados.
• A nivel técnico, usan malware en Rust y C que funciona en Windows, Linux y ESXi, con loaders avanzados para evadir defensas, moverse lateralmente y borrar rastros. El acceso inicial suele darse por correos de phishing con enlaces maliciosos, tras lo cual buscan datos críticos para cifrar y dejan notas de rescate.
• Además, aplican la doble extorsión, combinando el cifrado de archivos con el robo y amenaza de filtración de la información si no se paga.

La creciente actividad del ransomware Qilin
Qilin inició su actividad a mediados de 2022 y ha crecido de forma constante. En la primera mitad de 2024 ya acumulaba más de 50 ataques, y en 2025 su actividad se disparó: en abril llegó a más de 70 filtraciones en un solo mes, convirtiéndose en el grupo de ransomware más activo. Durante el segundo trimestre de 2025 casi duplicó su promedio mensual de víctimas, pasando de 35 a cerca de 70, en parte gracias a la desaparición de RansomHub, cuyos afiliados habrían migrado hacia Qilin.

Principales ataques del ransomware Qilin
Qilin se ha posicionado entre los grupos de ransomware más relevantes por la magnitud e impacto de sus ataques recientes:

1. Synnovis (junio 2024): proveedor clave de patología en Londres. El ataque interrumpió análisis de sangre en el NHS, afectando hospitales y generando escasez de donaciones. Tras negarse a pagar 50 millones de dólares, Qilin filtró 400 GB de datos médicos sensibles de millones de pacientes.
2. The Big Issue (marzo 2024): el periódico británico sufrió el robo de 500 GB de información, incluyendo datos de empleados, contratos e informes financieros. Aunque lograron restaurar parte de sus sistemas, datos fueron publicados en la dark web.
3. Inotiv (agosto 2025): empresa estadounidense de investigación farmacéutica. Qilin encriptó sistemas críticos y aseguró poseer 176 GB de información (más de 160.000 archivos), afectando directamente sus operaciones.

¿Cómo protegerse del ransomware Qilin?
El caso de Qilin refuerza la importancia de tener una estrategia sólida contra el ransomware. Algunos puntos clave son: 

• Mantener parches y actualizaciones al día para evitar exploits
• Usar soluciones avanzadas de detección que identifiquen procesos sospechosos y movimientos laterales
• Aplicar segmentación de red y un modelo Zero-Trust para limitar accesos
• Realizar backups periódicos y aislados que no puedan ser alterados
• Promover la capacitación en ciberseguridad, especialmente en la detección de correos de phishing.

Fuente: https://www.welivesecurity.com/es/ransomware/qilin-ransomware-asesoria-l...