Qilin Ransomware (Agenda): A Deep Dive

Qlin ransomware, también conocido como Agenda ransomware, es una popular operación RaaS (ransomware como servicio) que vende su tecnología a afiliados, permitiéndoles lanzar sus propios ataques. Las filiales que trabajan con la operación RaaS son conocidas por emplear tácticas de doble extorsión contra ransomware. Al cifrar y exfiltrar datos, los afiliados amenazan con filtrar información sensible para presionar al exigir el pago.

Con muestras escritas tanto en los lenguajes de programación Golang como Rust, el ransomware Qilin es capaz de ataques multiplataforma y es conocido por atacar a víctimas de alto valor. La variante de ransomware Qilin/Agenda evolucionó hasta convertir en una de las operaciones más activas a nivel mundial.

Las organizaciones deben comprender esta creciente amenaza de ransomware , así como los controles de seguridad y las mejores prácticas que pueden mitigar su impacto.

Antiransomware 2025 Ransomware Report

La aparición del ransomware Qilin/Agenda

Los primeros casos de ransomware Qilin se detectaron en 2022, cuando el grupo comenzó a publicar datos filtrados en su Sitio Dedicado a Filtraciones (DLS). Las primeras publicaciones en el sitio se hicieron bajo el nombre "Agenda", dando al ransomware Golang su nombre original, que aún se usa comúnmente .

El ransomware Qilin se dirige principalmente a sistemas Windows, aunque se identificaron variantes de Linux que apuntan a servidores VMware ESXi.

En septiembre de 2022, el ransomware se había renombrado como Qilin, en honor a una criatura de la mitología china. Los ataques de los afiliados de ransomware del grupo tienden a evitar dirigir a organizaciones en la Comunidad de Estados Independientes (CEI), lo que indica un posible actor de amenaza ruso.

Convertido en miembro de ransomware

La contratación de afiliados de ransomware en foros de hacking se observó por primera vez a finales de 2023.

La operación RaaS proporciona a los afiliados todas las herramientas e infraestructuras necesarias para lanzar ataques. A cambio, el grupo RaaS Qilin recibe entre el 15 y el 20% de los rescates pagados.

En junio de 2024, el ransomware Qilin se llevó a su mayor víctima, Synnovis, una compañía médica con sede en el Reino Unido conocida por ofrecer servicios de diagnóstico y patología a varios hospitales de Londres. El ataque a Qilin exigió un rescate de 50 millones de dólares para evitar la publicación de aproximadamente 400GB de datos sanitarios.

Este ataque puso de manifiesto las capacidades de Qilin, y la operación RaaS no hizo más que crecer desde entonces.

Conclusiones del reporte sobre el estado de la ciberseguridad

Analizando los DLS, el reporte Estado de la ciberseguridad de 2025 encontró que Qilin representaba el 5% de las víctimas en noviembre de 2024.

Es importante recordar que estos datos no miden la actividad real, ya que las víctimas que pagan el rescate no aparecerán en el DLS de un grupo de ransomware. Sin embargo, el ransomware Qilin experimentó otro aumento en 2025 debido a la disrupción de grupos populares de RaaS, especialmente RansomHub.

Vectores de infección por ransomware de Qilin: phishing, RMM y VPN

Estos son los métodos de distribución de ransomware Qilin más comunes para establecer acceso a la red de un objetivo:

  • Los emails de phishing y campañas más dirigidas de Spear phishing que dirigen a las víctimas a hacer clic en un enlace malicioso.
  • Explotar aplicaciones e interfaces expuestas como punto de entrada. Ejemplos comunes incluyen Citrix y el Protocolo de Escritorio Remoto (RDP).
  • Infostealer malware que apunta a Google Chrome.
  • Acceder a la red privada virtual (VPN) de una organización a través de cuentas comprometidas.

Una vez que el ransomware Qilin obtiene acceso inicial, comienza a desplazar lateralmente para acceder a nuevos sistemas en busca de datos sensibles para cifrar y exfiltrar.

Durante este proceso se emplean a menudo herramientas de Monitorización y Gestión Remota (RMM), mientras que Cobalt Strike despliega de manera regular el binario. El ejecutable de ransomware puede propagar a través de herramientas PsExec y Secure Shell (SSH), y se explotan los controladores de sistema vulnerables para evadir defensas.

Capacidades de ransomware Qilin: Técnicas de cifrado y evasión

Los afiliados de Qilin son conocidos por emplear ransomware de doble extorsión.

Esto significa cifrar los datos de la víctima para interrumpir las operaciones mientras amenaza con publicar información sensible en su DLS alojado en Tor. El ransomware que emplea técnicas de doble extorsión pretende ejercer una presión adicional sobre la víctima y aumentar la probabilidad de recibir un rescate.

La comunicación y los pagos están diseñados para proteger la identidad del afiliado al ransomware y dificultar que las agencias policiales investiguen a Qilin. Esto incluye:

  • El uso de portales de la dark sitio web o aplicaciones de mensajería cifrada para la comunicación
  • Los rescates se pagan mediante criptomonedas

Como operación RaaS sofisticada, los afiliados de ransomware Qilin pueden desarrollar sus propias variantes y adaptar capacidades para adaptar a sus objetivos. Esto incluye configurar varios ajustes para cifrado y evasión.

Los algoritmos de cifrado típicos empleados son:

  • ChaCha20
  • AES
  • RSA-4096

El cifrado se despliega mediante varios modos que controla el operador. Estos incluyen normal, salto de pasos, rápido y porcentaje.

Cada modo permite al afiliado de ransomware adaptar su ataque para priorizar la velocidad o la completitud. Los afiliados también pueden elegir la extensión del nombre de archivo de los archivos cifrados. El análisis muestra que a cada víctima se le agrega una extensión única de ID de empresa a los archivos cifrados.

Los afiliados pueden dirigir a una variedad de tipos de archivos dentro de los sistemas de la víctima, tales como:

  • Documentos
  • Imágenes
  • Databases

También están disponibles técnicas de ofuscación y evasión de código, incluyendo cifrado de cadenas, renombrado de funciones y alteración de flujos de control. Qilin se promociona como un ransomware versátil, sigiloso y fácil de usar. Todas las configuraciones se realizan a través del panel de afiliados para simplificar la adaptación de la tecnología subyacente a diversos ataques.

La variante Qilin.B

Una variante destacada, observada por primera vez en 2024, que mejora las capacidades del ransomware es Qilin.B. Esta variante ofrece técnicas mejoradas de cifrado y evasión.

Ofrece una variedad de técnicas de cifrado adaptadas a distintos sistemas.

(haciendo imposible acceder a datos comprometidos sin la clave privada).

Un ransomware Rust, Qilin.B dificulta las protecciones al terminar los servicios asociados con herramientas de seguridad y borrar los registros de eventos de Windows. También se elimina a sí mismo tras el ataque para obstruir el análisis mediante ingeniería inversa de la carga útil.

Finalmente, Qilin.B elimina las copias en sombra de volumen para dificultar los esfuerzos de recuperación.

Industrias objetivo

Como operación RaaS, los objetivos de Qilin son elegidos por afiliados de ransomware, no por el grupo detrás de la tecnología. Los objetivos típicos son organizaciones más grandes con datos de alto valor para extorsionar rescates más altos. Esto conduce a las industrias más populares entre los actores de ransomware, como:

  • Salud
  • Educación

Como se comentó antes, el ataque más famoso de Qilin fue contra la organización sanitaria británica Synnovis.

Este ataque de ransomware provocó una interrupción significativa en varios hospitales, provocando la cancelación de más de 6.000 citas y procedimientos y la escasez de donaciones de sangre.

Otras víctimas de ransomware en Qilin Healthcare incluyen:

  • Ortopedia Pediátrica del Centro de Texas
  • Siguiente paso en la atención sanitaria en Massachusetts
  • El Fideicomiso de Salud en California

Los ataques de ransomware en el sector sanitario son especialmente comunes, ya que estas organizaciones gestionan servicios vitales que dependen de datos sensibles de pacientes, pero que también suelen contar con cotizaciones limitadas y experiencia en ciberseguridad.

Aunque los ataques de ransomware en educación y sanidad son más comunes entre los afiliados de Qilin, en general, los ataques parecen más oportunistas que específicamente dirigidos, salvo por la notable ausencia de ataques entre la CEI.

Otras víctimas significativas de Qilin incluyen el periódico callejero británico The Big Issue, la compañía automovilística Yanfeng y el servicio judicial australiano.

Tácticas recientes: Exploits de Fortinet y asesoramiento legal de afiliados

Las tácticas recientes empleadas por afiliados de Qilin incluyen ataques de ransomware de vulnerabilidad Fortinet dirigidos a los firewall de la compañía.

Específicamente, estos ataques explotan dos vulnerabilidades críticas de Fortinet:

  • CVE-2024-21762: Out-ofbounds escribe vulnerabilidad que puede ejecutar comandos de forma remota.
  • CVE-2024-55591: Autenticación para evitar vulnerabilidad para la escalada de privilegios.

Ambas vulnerabilidades afectan a FortiOS/ FortiProxy SSL VPN dispositivo. Inicialmente, estos ataques de ransomware por vulnerabilidad de Fortinet tenían como objetivo organizaciones en países de habla hispana. Sin embargo, se espera que se extienda a otras regiones.

El grupo Qilin está automatizando los ataques de vulnerabilidad de Fortinet, y los afiliados solo necesitan seleccionar su objetivo para lanzar uno.

Otra actualización reciente es el panel Qilin RaaS, que ofrece asesoría legal a los afiliados con una nueva función llamada "Llamar a un abogado". Esto pretende aumentar aún más la presión sobre las víctimas proporcionando acceso a abogados que ayuden en las negociaciones del rescate.

Los afiliados pueden conocer exactamente las regulaciones que sus víctimas incumplieron permitiendo el ataque y recibir una evaluación experta sobre los posibles costos si no pagan el rescate.

Estrategias de Detección, Mitigación y Prevención

Aunque el ransomware Qilin ofrece a los afiliados amplias capacidades, las organizaciones con estrategias maduras de ciberseguridad están bien posicionadas para detectar, mitigar y prevenir ataques.

Las mejores prácticas y controles de seguridad que reducen el riesgo de ataques de ransomware incluyen:

  • Hacer copias de seguridad de tus datos más sensibles empleando infraestructuras aisladas y externas.
  • Desplegar procesos adecuados de gestión de parches que garanticen que ejecutes el software más actualizado y seguro.
  • Monitorizar el tráfico de red para detectar actividad sospechosa más allá de las operaciones habituales.
  • Implementando procedimientos de autenticación robustos basados en contraseñas fuertes y únicas y autenticación de múltiples factores (MFA).
  • Segmentar tu red para limitar el movimiento lateral tras un acceso no autorizado inicial.
  • Formar al personal para entender los métodos de distribución de ransomware más habituales, como identificar emails de phishing.
  • Cifrar datos sensibles en reposo cuando están almacenados en tus sistemas, no solo cuando están en tránsito.
  • Identificar la mejor herramienta de seguridad anti-ransomware del mercado que ofrece una protección integral para mantener a raya amenazas como Qilin.

Protección contra ransomware con Check Point

Check Point Endpoint Security de Check Point es una solución completa contra ransomware que detiene incluso los ataques más sofisticados. Controles extensos de seguridad de terminales dejan acceso no autorizado a tu red y las herramientas automatizadas de recuperación minimizan el impacto de posibles brechas.

Check Point Endpoint Security ofrece todo lo que necesitas para proteger tu organización de Qilin y otras amenazas de ransomware en una solución todo en uno y rentable.

Aplicar hoy mismo una demostración personalizada y gratis y descubre cómo se puede adaptar a tus necesidades exactas.

Comenzar

Seguridad de terminales de Check Point

Guía del CISO para la prevención del ransomware

SOBRE CIBERSEGURIDAD 2023

Protección contra ransomware

Temas relacionados

Eliminación de ransomware

Recuperación de ransomware

El ransomware Locker

El ransomware de triple extorsión

Ransomware Akira