Dark News es un resumen semanal de noticias de ciberseguridad, privacidad y hacking. Los temas están producidos y seleccionados por Juan Brodersen según estos criterios de edición.

19
dic
⚡ Último momento

River Plate apareció en una lista de víctimas de un grupo cibercriminal: aseguran que tienen datos internos

⏰ Substack dice que leer este correo completo lleva 12 minutos

Dark News #182

El Club Atlético River Plate apareció en una lista de víctimas del grupo cibercriminal Qilin, agrupación internacional que opera con ransomware, un programa malicioso que vuelve inaccesible la información para pedir un rescate en criptomonedas a cambio.

El club le confirmó a Dark News que no hay información de socios comprometida y por el momento no hay información sobre sistemas encriptados.

En la muestra que subió Qilin a la Dark Web se pueden ver datos contables internos de River, con órdenes de compra hechas entre 2017 y 2021. Por este motivo, el ataque podría haber sido a un proveedor de River, mediante lo que se conoce como ataque a la cadena de suministro: hackeos a proveedores de empresas que gestionan o tienen acceso a documentación interna.

En la lógica del ransomware, el rédito económico es el principal móvil. Los ciberdelincuentes hacen escaneos masivos de la web en búsqueda de vulnerabilidades que suelen ser comunes, tanto por sistemas desactualizados como por fallas muy recientes que todavía no tienen parche. A partir de estos descuidos en los sistemas de seguridad, entran, copian información y luego encriptan los sistemas para cobrar un rescate, generalmente en criptomonedas.

Desde 2020, este tipo de amenazas se hizo muy popular en el ámbito cibercriminal en todo el mundo: desde gigantes como Toyota en 2022 y los hoteles de Las Vegas de MGM Resorts en 2023 hasta el Senado de la Nación en Argentina y Osde, ambos en 2022. El PAMI fue víctima de un grupo de ransomware en 2023, exponiendo una enorme cantidad de información de afiliados.

En el caso de River, la muestra subida por Qilin no parece remitir a un impacto de gran calibre, sino datos internos contables: en el posteo, de hecho, se describe como “acounting services”. En la forma de operar del ransomware, no importa tanto la víctima sino su tamaño: un club de fútbol que mueve grandes sumas de dinero es un blanco atractivo para estas bandas criminales.

Qilin: quién es y cómo opera el grupo cibercriminal

Dentro del mundo hay grupos muy conocidos, como Black Cat, LockBit, RansomHub, Hunters International. Muchos de ellos sufrieron, durante los últimos dos años, golpes de fuerzas de seguridad de Europa y Estados Unidos. Sin embargo, el negocio del ransomware sigue latente, en tanto las bandas se reagrupan y reutilizan los programas para cifrar datos.

“Qilin se ha convertido en el nuevo líder del panorama del ransomware. A pesar del caos que siguió a la caída del anterior grupo líder de ransomware, RansomHub, en el primer semestre de 2025, el número de víctimas reportadas en DLS (Dedicated Leak Sites) ha seguido creciendo rápidamente, con un número acumulado de víctimas en 2025 que ya supera el total de 2024.

A lo largo de 2025, los investigadores de ESET analizaron cientos de ataques de ransomware con participación directa de operadores. La mayor cantidad de estos ataques tuvo como objetivo empresas de sectores como manufactura, construcción, comercio minorista, tecnología y salud”, explicó en diálogo con este medio Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.

“A lo largo de 2025, los investigadores de ESET analizaron cientos de ataques de ransomware con participación directa de operadores. La mayor cantidad de estos ataques tuvo como objetivo empresas de sectores como manufactura, construcción, comercio minorista, tecnología y salud”, agregó.

Según un análisis de Qualys, Qilin fue creado originalmente por el grupo BianLian, activo en la dark web, y sus primeros usos habrían estado vinculados a clientes asociados con el Ejército chino y otras entidades afines al gobierno. Con el tiempo, su utilización se expandió y hoy es empleada por distintos actores, incluidos grupos criminales conocidos y entidades con presuntos vínculos estatales, como organizaciones relacionadas con Corea del Norte.

“En el ámbito del ransomware como servicio (RaaS), Akira y Qilin fueron los actores líderes, cada uno responsable del 10% de los ataques analizados, seguidos por MedusaLocker con un 7%. Con base en información pública de los DLS administrados por bandas de ransomware, el número acumulado de víctimas conocidas en 2025 alcanzó las 6.937, superando el total de 2024 por más de 1.700. Si esta tendencia continúa, el aumento interanual llegará al 40%”, complementa Guitíerez Amaya de ESET.

TTPs de Qilin

Según Gutiérrez Amaya:

• El funcionamiento de Qilin se puede entender como una operación pensada paso a paso para moverse dentro de una red y causar el mayor daño posible. Para el acceso inicial se han identificado principalmente el abuso servicios remotos externos (T1133) como VPNs o firewalls mal configurados, y también explotación de aplicaciones públicas (T1190).

• Una vez logra el acceso, empieza un movimiento por la infraestructura buscando servidores donde el cifrado de la información tenga un mayor impacto. Para el escalamiento de privilegios los operadores de Qilin abusan de cuentas válidas de dominio (T1078.]002) o la manipulación de tokens de acceso (T1134) para ejecutar comandos con privilegios elevados (SYSTEM). Se han identificado casos en los cuales se extraen credenciales directamente desde procesos críticos de Windows como lsass.exe.

• También se ha identificado el abuso PowerShell para el borrado de logs e indicadores (T1070), además de enumerar cuentas y equipos de dominio (T1087.]002) consultando Active Directory, incluso instalando herramientas administrativas si no están disponibles. Qilin se propaga usando servicios remotos y shares administrativos vía SMB (T1021.]002), apoyándose en herramientas legítimas como PsExec, pero embebidas dentro del propio malware.

• Además el uso de los EDR killers siguieron siendo una tendencia significativa en el panorama del ransomware, para buscar evadir defensas (TA0005) en las infraestructuras afectadas. En los últimos tres meses, ESET Research descubrió más de una docena de nuevas herramientas de este tipo en circulación, utilizadas principalmente por afiliados de las bandas Akira y Qilin, seguidas por Warlock.

• Al momento de cifrar los archivos, Qilin se asegura de que la víctima tenga la menor capacidad de recuperación posible, aplicando inhibición de la recuperación del sistema (T1490). Borra backups, desactiva tareas de respaldo y rompe servicios como VSS antes de cifrar.

Espacio publicitario

¿Te fascina saber cómo piensan los atacantes? Nuestra plataforma y equipo operan desde una mirada ofensiva, para anticiparse a los riesgos reales. Faraday escanea y organiza vulnerabilidades, automatiza tareas repetitivas y convierte información técnica en decisiones claras. Porque la mejor defensa es siempre estar un paso adelante.

Más información, clic en este enlace.

Así, Qilin se posicionó este año como uno de los grupos líderes de la escena del ransomware. “Después de que el anterior líder, RansomHub, fuera derribado por la banda rival DragonForce en el primer semestre de 2025, estalló una competencia por afiliados y por el dominio general del panorama del ransomware. Los datos disponibles públicamente de los DLS sugieren que, a finales del segundo semestre de 2025, el RaaS de Qilin emergió como la fuerza dominante, con aumentos récord en el número de víctimas reportadas, seguido por el RaaS de Akira”, cierra.

El ransomware de Qilin opera bajo el modelo de doble extorsión, una técnica que combina el cifrado rápido de los sistemas de la víctima con la eliminación de copias de seguridad y la exfiltración de datos sensibles. Si el rescate no se paga, la información robada puede ser publicada o comercializada en foros clandestinos, lo que incrementa la presión sobre las organizaciones afectadas.

En el caso de River, todo indica que copiaron información pero se desconoce si llegaron a cifrar los sistemas.

Share