Europol busca hackers rusos. Recompensa: 50.000 dólares. Tienes la oportunidad de ganar dinero gracias a tus amigos programadores.
Europol convierte la ciberdelincuencia en un reality show.
Europol ofreció una recompensa de hasta 50 000 dólares por cualquier información que ayude a identificar o detener a los operadores clave del grupo Qilin, conocidos por los alias «Haise» y «XOracle». Estos sospechosos están implicados en la organización de campañas masivas con el uso de programas de ransomware, dirigidas contra infraestructuras críticas en todo el mundo y que han causado enormes pérdidas económicas. Actualmente la investigación la llevan a cabo fuerzas de seguridad internacionales bajo la coordinación de Europol.
Los expertos creen que el núcleo de Qilin se encuentra en Europa del Este: en foros de hackers los miembros suelen comunicarse en ruso. El grupo apareció por primera vez en agosto de 2022 bajo el nombre Agenda y desde entonces ha afectado al menos a 678 organizaciones, lo que lo convierte en uno de los más activos entre los operadores actuales de ransomware.
Poco después el grupo se sometió a un cambio de marca y se convirtió en un servicio completo Ransomware-as-a-Service (RaaS). En este modelo los socios se reclutaban a través de foros cerrados, recibiendo entre el 80 y el 85 % de los rescates, mientras el grupo conservaba el resto. La seña de identidad de Qilin fue su complejidad técnica: los desarrolladores usaban Golang y Rust, lo que les permitía compilar módulos ejecutables universales, fáciles de adaptar a distintas plataformas y más difíciles de detectar por las defensas tradicionales.
En el arsenal de Qilin se emplean métodos de doble extorsión: los datos no solo se cifran, sino que también se roban con la amenaza de publicarlos. Las víctimas han sido centros médicos, empresas de construcción y educativas, organismos gubernamentales y compañías de infraestructura en más de 30 países. Para el acceso inicial los atacantes a menudo explotaban conexiones VPN mal configuradas, por ejemplo FortiGate, o enviaban correos de phishing. A partir de ahí utilizaban scripts de PowerShell para comprometer VMware vCenter y ESXi, lo que les permitía desplegar masivamente el ransomware dentro de entornos virtuales.
Los expertos prestan especial atención a la variante Qilin.B, escrita en Rust. Emplea potentes algoritmos criptográficos AES-256-CTR combinados con RSA-4096-OAEP, incorpora mecanismos antiregistro y funciones de autodestrucción para evadir la detección. En algunos casos se ha constatado el robo de credenciales almacenadas en navegadores, lo que abría la puerta a una infiltración más profunda en redes corporativas.
Uno de los episodios más sonados fue el ataque al proveedor de servicios médicos Synnovis en junio de 2024, que paralizó hospitales del NHS en Londres y provocó la cancelación de cientos de operaciones y citas. Entre otras víctimas figuran organizaciones de Malasia, Estados Unidos, Tailandia, China y varios países europeos, incluyendo empresas de construcción, fundaciones benéficas y organismos estatales.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla