Uma investigação da empresa de cibersegurança Resecurity revelou que o grupo Qilin, um dos mais ativos no cenário global de ransomware, mantém uma infraestrutura de hospedagem blindada capaz de sustentar suas operações mesmo após ações de derrubada de servidores. O sistema, conhecido como Ghost Hosting Conglomerate, oferece suporte a múltiplas famílias de ransomware e fóruns clandestinos, atuando como espinha dorsal de uma rede global de cibercrime.
O Qilin, ativo desde 2022, ficou conhecido por ataques contra instituições de saúde, bancos e órgãos governamentais. Agora, os pesquisadores descobriram que o grupo também fornece serviços de infraestrutura para outros coletivos criminosos, garantindo que sites, painéis de pagamento e data leaks permaneçam acessíveis mesmo durante campanhas de desmantelamento conduzidas por autoridades. A operação Ghost é composta por múltiplos provedores de hospedagem interligados, alguns registrados com identidades falsas em países do Leste Europeu e da Ásia Central. Esses servidores utilizam tecnologias de redundância e failover para redirecionar automaticamente o tráfego sempre que um domínio é bloqueado, o que dificulta a remoção completa da infraestrutura. Os pesquisadores identificaram conexões entre o Ghost Hosting e outros grupos de ransomware, incluindo LockBit, Akira e Medusa, que teriam usado a mesma infraestrutura para armazenar dados roubados e negociar resgates.
A estrutura também abriga painéis de acesso remoto, C2s e serviços de anonimização usados por afiliados do modelo Ransomware-as-a-Service (RaaS). Um dos domínios vinculados ao Qilin, hospedado na rede Ghost, teria armazenado dados de mais de 30 organizações comprometidas, entre elas empresas de transporte, energia e tecnologia da informação. Os arquivos incluíam documentos de RH, planilhas financeiras e dados de clientes, usados como alavanca nas negociações de resgate. A investigação aponta que o conglomerado Ghost opera com modelo empresarial e suporte técnico 24 horas, oferecendo a criminosos hospedagem anônima, proxies dedicados, criação de sites no Tor e integração com serviços de lavagem de criptomoedas. Essa profissionalização faz com que o ecossistema de ransomware funcione como um mercado paralelo altamente resiliente.
