La campaña de ransomware Qilin se intensifica en Corea del Sur: actores rusos y coreanos detrás de la devastación del sector financiero

Septiembre de 2024 marcó un punto de inflexión crítico cuando los ataques de ransomware Qilin en Corea del Sur aumentaron a 25 incidentes, un asombroso aumento de 12 veces en comparación con el promedio mensual típico de dos casos. Esta campaña coordinada, orquestada por ciberdelincuentes rusos y actores de amenazas afiliados a Corea, comprometió a 24 instituciones financieras y resultó en el robo de más de 2TB de datos altamente sensibles.

La anatomía de la mayor brecha en el sector financiero de Corea del Sur

Según la Evaluación de Amenazas de Bitdefender de octubre de 2024, la operación Qilin representa un modelo de amenaza híbrido que combina infraestructura de ransomware como servicio (RaaS) con objetivos de espionaje patrocinados por el estado. Los investigadores de seguridad identificaron un total de 33 incidentes en 2024, con la mayoría concentrada en un devastador período de tres semanas que comenzó el 14 de septiembre.

El vector de ataque fue engañosamente simple pero devastadoramente efectivo: los actores de amenazas infiltraron proveedores de servicios gestionados (MSPs) que sirven como intermediarios de infraestructura crítica para bancos y empresas financieras surcoreanas. Al comprometer estos MSPs, los atacantes obtuvieron acceso privilegiado a decenas de clientes downstream simultáneamente—una estrategia de ataque a la cadena de suministro que resultó casi imposible de detectar de forma independiente para las instituciones financieras individuales.

El análisis de Bitdefender reveló que la exfiltración de datos ocurrió en tres oleadas coordinadas. La primera brecha, el 14 de septiembre de 2024, expuso archivos de 10 empresas de gestión financiera. Dos vertidos posteriores entre el 17-19 de septiembre y del 28 de septiembre al 4 de octubre añadieron 18 víctimas adicionales, acumulando aproximadamente 1 millón de archivos que contienen estimaciones de inteligencia militar, planos económicos y registros confidenciales corporativos.

La alianza de amenazas ruso-coreana y sus implicaciones

El grupo Qilin opera desde suelo ruso, con miembros fundadores activos en foros de ciberdelincuencia en ruso bajo seudónimos como “BianLian”. Sin embargo, la campaña en Corea del Sur presenta características distintivas de participación norcoreana, vinculando específicamente la operación al colectivo de actores de amenazas Moonstone Sleet, conocido por realizar operaciones cibernéticas impulsadas por espionaje.

Esta alianza transformó lo que podría haber sido un esquema de extorsión financiera directo en una operación de recopilación de inteligencia con múltiples objetivos. Los atacantes justificaron públicamente las filtraciones de datos alegando falsamente que los materiales robados tenían valor “anticorrupción”—una táctica de propaganda diseñada para enmascarar la adquisición de inteligencia a nivel estatal. En un caso destacado, los hackers incluso hicieron referencia a la preparación de informes de inteligencia para liderazgos extranjeros basados en planos robados de puentes y plantas de GNL.

El objetivo del centro financiero de Corea del Sur no es casualidad. Clasificada como la segunda nación más afectada por ransomware en 2024, la infraestructura bancaria sofisticada del país la convierte en un objetivo atractivo tanto para criminales comerciales como para actores estatales que buscan inteligencia económica.

Impacto en los mercados financieros y ecosistemas cripto

El robo de 2TB de datos plantea riesgos downstream para intercambios de criptomonedas y plataformas fintech que dependen de infraestructura bancaria tradicional. Los registros financieros comprometidos, la documentación KYC y los datos de transacciones podrían ser utilizados como armas para manipulación del mercado, evasión regulatoria o fraude dirigido contra traders de criptomonedas e inversores institucionales.

La inteligencia de amenazas de NCC Group confirma que Qilin ahora representa el 29% de los incidentes globales de ransomware, con más de 180 víctimas reclamadas solo en octubre de 2024. La capacidad demostrada del grupo para monetizar las brechas mediante demandas de extorsión que promedian millones de dólares crea una presión sostenida sobre las víctimas para que cumplan—a menudo antes de que los datos lleguen a foros de filtraciones públicas.

Medidas defensivas y postura de seguridad recomendada

Las instituciones financieras de la región deben implementar de inmediato varias salvaguardas críticas:

Evaluación y monitoreo de MSP: Establecer protocolos rigurosos de evaluación de proveedores y monitoreo continuo del acceso de terceros. Las arquitecturas de confianza cero que tratan todo el tráfico de red con sospecha—independientemente de la fuente—demostraron ser esenciales para limitar el movimiento lateral.

Segmentación de red: Si los bancos surcoreanos hubieran aislado correctamente los sistemas críticos de las redes accesibles a los MSP, la exfiltración de 2TB habría sido drásticamente limitada. La segmentación crea fricción que compra tiempo para la detección y respuesta a incidentes.

Aceleración de la respuesta a incidentes: Implementar herramientas de detección y respuesta en endpoints (EDR) con análisis conductual. El mecanismo de entrega de Qilin depende de establecer puertas traseras persistentes—herramientas como la suite de seguridad en endpoints de Bitdefender pueden identificar ejecuciones anómalas antes de que los archivos sean cifrados.

Capacitación de empleados: La primera brecha en MSP probablemente resultó de phishing o robo de credenciales. Las simulaciones adversarias regulares y la capacitación en conciencia de seguridad reducen los factores de vulnerabilidad humana.

Implicaciones estratégicas para la industria cripto

La campaña Qilin-Corea del Sur demuestra cómo el ransomware ha evolucionado más allá del simple extorsión hacia una amenaza híbrida que combina la eficiencia del cibercrimen con objetivos de espionaje a nivel estatal. La participación de actores coreanos indica que las tensiones geopolíticas se manifiestan cada vez más a través de ataques a infraestructuras digitales dirigidos a sectores financieros.

Las plataformas de criptomonedas que operan en o atienden a clientes surcoreanos enfrentan un riesgo elevado tanto por ataques directos de ransomware como por compromisos indirectos a través de proveedores de servicios financieros. El robo de 2TB de datos puede incluir registros de clientes, patrones de transacción y relaciones institucionales que actores extranjeros podrían explotar para ataques selectivos.

La ventana para tomar medidas defensivas se está cerrando. Las organizaciones que no implementen medidas de seguridad en la cadena de suministro y segmentación de red en este trimestre podrían enfrentar brechas similares en los próximos meses, ya que los actores de amenazas continúan mapeando la infraestructura financiera surcoreana.

Como concluyó la evaluación de Bitdefender de octubre de 2024: “Esta operación subraya la convergencia en evolución del cibercrimen y los objetivos geopolíticos dentro de los sectores financieros críticos. La naturaleza híbrida de las amenazas exige estrategias defensivas igualmente híbridas que combinen controles técnicos, gestión de proveedores e integración de inteligencia de amenazas.”