El ransomware Qilin despliega cargas útiles para Linux y tácticas BYOVD en ataques híbridos
El ransomware Qilin despliega cargas útiles para Linux y tácticas BYOVD en ataques híbridos
Resumen y datos clave
Investigadores de seguridad han observado que la operación de ransomware Qilin —también registrada bajo los nombres Agenda, Gold Feather y Water Galura— utiliza un enfoque de ataque híbrido que combina una carga útil compatible con Linux con una técnica de explotación BYOVD (Bring Your Own Vulnerable Driver). Desde principios de 2025 el grupo ha publicado más de 40 víctimas cada mes, y su sitio público de filtraciones alcanzó aproximadamente 100 casos en junio; la operación se ha consolidado como una de las iniciativas de ransomware como servicio (RaaS) más activas observadas hasta ahora este año.
Hechos conocidos: Qilin combina componentes de ransomware orientados a Linux con técnicas de evasión estilo BYOVD contra EDR/AV y mantiene un ritmo elevado de publicaciones en su sitio de filtraciones a lo largo de 2025.
Antecedentes y por qué importa
Los actores de ransomware tratan cada vez más los entornos empresariales como superficies de ataque heterogéneas que incluyen tanto puntos finales Windows como infraestructuras Linux, como servidores, contenedores e hipervisores. Una capacidad híbrida que apunte a sistemas Linux es significativa porque amplía el número de objetivos lucrativos —servidores de archivos, dispositivos de respaldo y plataformas virtualizadas— y complica la respuesta a incidentes, que tradicionalmente se centra en artefactos y herramientas de Windows.
BYOVD es una técnica evasiva conocida en la que los atacantes cargan o aprovechan controladores en modo kernel legítimamente firmados pero vulnerables para desactivar productos de seguridad o eludir protecciones del kernel. Cuando se combina con una carga útil para Linux, las técnicas estilo BYOVD indican un modelo de operaciones multiplataforma diseñado para derrotar a defensores que usan detección y respuesta en endpoints (EDR) y otros controles de seguridad a nivel de host.
El ritmo operativo informado para Qilin —decenas de nuevas publicaciones de víctimas cada mes y un pico en junio— señala un modelo de negocio RaaS maduro con suficiente capacidad operativa para sostener intrusiones frecuentes y actividad en el sitio de fugas. Para los defensores, esto se traduce en una probabilidad elevada de encontrarse con Qilin o con tácticas inspiradas en Qilin en una amplia gama de sectores.
Análisis técnico y comentarios para profesionales
Desde la perspectiva de la defensa y la detección, la combinación de cargas útiles para Linux más evasión estilo BYOVD presenta varios desafíos técnicos:
- Brechas de visibilidad multiplataforma: Los equipos de seguridad que priorizan la telemetría de Windows pueden pasar por alto indicadores de compromiso en Linux y movimientos laterales mediante SSH, escapes de contenedor o hipervisores comprometidos.
- Evasión a nivel de kernel: Las técnicas BYOVD operan en el kernel o a nivel de controlador para neutralizar EDR y antivirus. La detección requiere monitorización de la integridad del kernel y validación de los controladores cargados.
- Flexibilidad de la carga útil: Una única cadena de intrusión que despliega componentes tanto para Windows como para Linux implica herramientas modulares y puesta en escena automatizada: los operadores de ransomware pueden adaptarse a los hosts que encuentren durante la intrusión.
Comentarios técnicos accionables para profesionales:
- Endurecer el uso y la carga de controladores: Utilice listas de permitidos para controladores cuando sea posible y haga cumplir políticas de firma de controladores. Audite y bloquee controladores firmados conocidos por ser vulnerables que puedan ser abusados por atacantes.
- Mejorar la telemetría en Linux: Asegure la recopilación de registros de llamadas al sistema, auditd, registros del kernel y rutas de ejecución de procesos. Monitorice cargas inusuales de binarios ELF, uso inesperado de claves SSH y patrones de modificación rápida de archivos típicos de rutinas de cifrado.
- Integridad y atestación del kernel: Despliegue soluciones que detecten modificaciones no autorizadas del kernel y monitoricen cargas anómalas de controladores o cambios en tablas de símbolos. En plataformas que lo soporten, habilite Secure Boot y protecciones UEFI para reducir el riesgo de manipulación a nivel de kernel.
- Coordinar playbooks de IR multiplataforma: Prepare planes de respuesta unificados que cubran contención en Windows y Linux, incluidos pasos para aislar hosts ESXi u otros hipervisores y preservar la memoria volátil y el estado del kernel para análisis forense.
Tendencias comparables, riesgos y recomendaciones
Tendencias comparables y ampliamente reportadas en el panorama del ransomware ayudan a contextualizar la actividad de Qilin:
- Proliferación del ransomware como servicio: Varios grupos de alto impacto operan modelos RaaS que facilitan ataques frecuentes y distribuidos. Esta comoditización incrementa el volumen de ataques y la diversidad de tácticas en uso.
- Orientación a Linux: En los últimos años las familias de ransomware se han ampliado para incluir módulos dirigidos a Linux y ESXi, lo que refleja el valor de la infraestructura de servidores empresariales para operaciones de extorsión.
- Técnicas de evasión de EDR: Los actores de amenaza recurren de forma habitual a evasiones basadas en controladores, al uso de binarios legítimos del sistema (living-off-the-land) y al robo de credenciales para eludir defensas; BYOVD es uno de varios métodos para neutralizar las protecciones en el host.
Riesgos operativos y empresariales potenciales:
- Interrupción de copias de seguridad y recuperación: Si los atacantes apuntan a servidores de respaldo o repositorios de instantáneas en hosts Linux, las ventanas de recuperación pueden aumentar y las aseguradoras podrían cuestionar reclamaciones si las copias de seguridad son accesibles desde hosts comprometidos.
- Tiempo de permanencia prolongado: La evasión a nivel de kernel puede enmascarar la actividad del atacante y retrasar la detección, aumentando las oportunidades de exfiltración de datos y movimiento lateral.
- Daño regulatorio y reputacional: Las filtraciones de datos y las interrupciones prolongadas atraen escrutinio regulatorio y desconfianza de los clientes, especialmente para organizaciones en salud, finanzas, infraestructuras críticas y proveedores de servicios gestionados (MSP).
Recomendaciones prácticas y priorizadas para los defensores:
- Gestión de parches: Priorice parches tanto para el sistema operativo como para controladores de kernel de terceros. Siga los avisos de los proveedores sobre vulnerabilidades en controladores firmados y elimine o reemplace controladores vulnerables.
- Segmentación de red y principio de menor privilegio: Limite la propagación lateral segmentando poblaciones de servidores, restringiendo el acceso administrativo a hosts Linux y aplicando MFA para cuentas privilegiadas y accesos SSH.
- Copias de seguridad inmutables y air-gapped: Mantenga copias de seguridad fuera de línea o air-gapped y pruebe las restauraciones con regularidad. Asegúrese de que las credenciales de backup estén segregadas de las cuentas administrativas generales.
- Hunt por cargas de controladores sospechosas y artefactos del kernel: Use EDR y SIEM para buscar cargas anómalas de controladores, inserciones de módulos del kernel y desactivaciones súbitas de agentes de seguridad.
- Inteligencia de amenazas y monitorización de filtraciones: Suscríbase a servicios de monitorización de sitios de filtraciones de ransomware e integre indicadores de compromiso (IOCs) en controles de bloqueo/monitorización para obtener advertencias tempranas de objetivos activos.
- Preparación para la respuesta a incidentes: Valide runbooks para entornos híbridos, asegure la coordinación entre equipos (Windows, Linux, nube/hipervisor) y ejercite escenarios de contención que incluyan forense de kernel y preservación de evidencias.
Conclusión
La combinación de Qilin de cargas útiles dirigidas a Linux y evasión estilo BYOVD subraya una evolución persistente en las tácticas de ransomware: los operadores están ampliando su alcance más allá de los puntos finales Windows para comprometer infraestructuras de servidores y virtualización, mientras emplean trucos a nivel de kernel para dificultar la detección. La actividad sostenida del sitio de filtraciones del grupo a lo largo de 2025 pone de manifiesto tanto la escala operativa como el riesgo real que estas campañas híbridas suponen para la resiliencia empresarial.
Para los defensores, las prioridades están claras: ampliar la visibilidad multiplataforma, reforzar las protecciones de controladores y del kernel, segregar copias de seguridad y accesos administrativos, y ejercitar planes de respuesta a incidentes que abarquen entornos Windows y Linux. La monitorización proactiva del uso indebido de controladores y una telemetría mejorada en hosts Linux reducirán la ventana temporal que los atacantes necesitan para lograr cifrado y exfiltración.
Fuente: thehackernews.com
