Slevová nabídka pro více licencí
Databáze hrozeb Ransomware Skupina Qilin Ransomware

Skupina Qilin Ransomware

V roce Mezo v roce Ransomware, Pokročilá trvalá hrozba (APT)
Přeložit do:

Qilin (sledovaný také jako Agenda, Gold Feather a Water Galura) se vyvinul v jednu z nejproduktivnějších operací Ransomware-as-a-Service (RaaS), které jsou dnes aktivní. Od začátku roku 2025 skupina eviduje více než 40 obětí měsíčně (leden byl jedinou výjimkou), vrchol dosáhla v červnu s přibližně 100 úniky dat a v srpnu a září 2025 zaznamenala 84 obětí. Qilin, aktivní přibližně od července 2022, díky svému tempu a taktice představuje vysoce rizikového aktéra pro podniky po celém světě.

Kdo byl zasažen - geografie a průmyslová odvětví

Analýza telemetrie incidentů ukazuje, že oběti Qilinu jsou soustředěny v Severní Americe a západní Evropě, přičemž mezi nejvíce postižené země patří Spojené státy, Kanada, Spojené království, Francie a Německo. Skupina upřednostňuje určité vertikály: výroba představuje přibližně 23 % pozorovaných cílů, profesionální a vědecké služby asi 18 % a velkoobchod zhruba 10 %.

Počáteční přístup a rané uplatnění

Vyšetřovatelé se domnívají, že mnoho útoků na sítě Qilinu začíná únikem administrátorských přihlašovacích údajů získaných z repozitářů dark webu. Útočníci tyto přihlašovací údaje používají k přihlášení přes rozhraní VPN a poté se připojují RDP k řadičům domény a dalším napadeným koncovým bodům. Odtud se přesouvají k mapování prostředí a hlubšímu průzkumu.

Sběr a nástroje pro pověření

Kampaně Qilin hojně využívají nástroje a techniky pro získávání přihlašovacích údajů. Provozovatelé a přidružené společnosti používají Mimikatz spolu s utilitami, jako jsou WebBrowserPassView.exe, BypassCredGuard.exe a SharpDecryptPwd, k získávání tajných údajů z prohlížečů, systémových úložišť a dalších aplikací. Shromážděné přihlašovací údaje jsou pomocí skriptů Visual Basic odesílány na externí SMTP servery. Mezi pozorované praktické využití Mimikatzu patřily tyto akce:

  • vymazat protokoly událostí systému Windows a jinak smazat stopy;
  • povolit SeDebugPrivilege;
  • extrahovat uložená hesla Chrome z databází SQLite;
  • obnovit přihlašovací údaje z předchozích přihlášení; a
  • shromažďování konfigurace a přihlašovacích údajů pro RDP, SSH a Citrix.

Život z půdy a zneužívání legitimních nástrojů

Tito útočníci kombinují zjevný malware s legitimními systémovými nástroji a známými nástroji pro správu, aby se začlenili do davu. Bylo vidět, jak otevírají soubory pomocí programů mspaint.exe, notepad.exe a iexplore.exe, aby ručně prohledali obsah a našli v něm citlivé informace, a používají spolehlivého klienta Cyberduck k přenosu vybraných souborů na vzdálené servery, přičemž skrývají škodlivý úmysl.

Jak se zneužívají ukradené přihlašovací údaje

Jakmile mají aktéři Qilin k dispozici přihlašovací údaje, stupňují oprávnění a šíří se laterálně. Zvýšený přístup byl použit k instalaci řady produktů pro vzdálené monitorování a správu (RMM) a vzdálený přístup – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist a ScreenConnect – ačkoli výzkumníci (Talos) nedokázali vždy určit, zda byl každý produkt používán primárně pro laterální pohyb nebo pro trvalé dálkové ovládání.

Úniky, vytrvalost a post-exploitace

Aby se útočníci vyhnuli odhalení, spouštějí sekvence PowerShellu, které deaktivují AMSI, vypínají ověřování certifikátů TLS a povolují režim omezeného administrátora. K ukončení bezpečnostních produktů také nasazují utility typu kill-switch, jako je dark-kill a HRSword. Pro perzistenci a skryté ovládání používají Cobalt Strike a SystemBC.

Nasazení a čištění ransomwaru

Poslední fází je nasazení ransomwaru Qilin: soubory jsou šifrovány, výzvy k výkupnému jsou ukládány do šifrovaných složek, protokoly událostí systému Windows jsou vymazány a všechny stínové kopie vytvořené službou Volume Shadow Copy Service (VSS) jsou smazány, aby se zmařily snahy o obnovu.

Pokročilé hybridní útočné řetězce (binární soubor Linuxu na Windows + BYOVD)
Některé sofistikované incidenty Qilin kombinovaly několik pokročilých technik. Operátoři nasadili binární soubor ransomwaru kompilovaný pro Linux, ale spustili ho na hostitelích s Windows, spárovali tento datový soubor s technikou „přineste si vlastní zranitelný ovladač“ (BYOVD) k deaktivaci obrany a použili legitimní nástroje pro správu IT k pohybu v prostředí a spouštění datových souborů. V těchto útocích byl ovladač eskle.sys pozorován jako zranitelná komponenta ovladače používaná k deaktivaci bezpečnostních kontrol, ukončení procesů a vyhýbání se detekci.

Záložní cílení a krádež přihlašovacích údajů na míru

Společnost Qilin se konkrétně zaměřila na zálohovací infrastrukturu Veeam. Útočníci použili specializované nástroje pro extrakci přihlašovacích údajů ze zálohovaných databází k jejich získání, přičemž systematicky ohrožovali platformy organizací pro zotavení po havárii před spuštěním ransomwaru, čímž výrazně zvýšili riziko pro postižené oběti.

Phishing a mechanismy doručování falešných CAPTCHA

Kromě zneužití platných účtů začaly některé útoky spear-phishingem nebo falešnými CAPTCHA stránkami ve stylu ClickFix hostovanými na Cloudflare R2. Zdá se, že tyto stránky poskytují datové úložiště pro krádeže informací, která shromažďují přihlašovací údaje, jež jsou následně znovu použity k získání počátečního přístupu k síti.

Mezi pozorované klíčové techniky a infrastrukturu patří:

  • Nasazení proxy knihovny DLL SOCKS pro povolení vzdáleného přístupu a provádění příkazů.
  • Zneužívání ScreenConnect ke spouštění vyhledávacích příkazů a nástrojů pro síťové skenování za účelem lokalizace cílů bočního pohybu.
  • Cílení na zálohovací systémy Veeam pro extrakci zálohovacích přihlašovacích údajů z více databází.
  • Použití ovladače eskle.sys v útocích BYOVD k neutralizaci bezpečnostního softwaru a ukončení obranných procesů.
  • Nasazení SSH klientů PuTTY pro laterální přesun na Linuxové hostitele.
  • Spouštění instancí proxy SOCKS napříč různými adresáři za účelem zakrytí provozu C2 přes backdoor COROXY.
  • Použití WinSCP k přesunu binárního souboru ransomwaru z Linuxu do systémů Windows.
  • Využití souboru SRManager.exe ze Splashtop Remote ke spuštění binárního souboru ransomwaru pro Linux přímo na počítačích se systémem Windows.

Dopad napříč platformami a cílení virtualizace

Binární soubor Linuxu nabízí multiplatformní možnosti: jeden datový soubor může v daném prostředí ovlivnit systémy Linux i Windows. V nedávné době byly aktualizovány vzorky Qilinu pro detekci prostředí Nutanix AHV, což dokazuje, že skupina rozšiřuje cílení nad rámec tradičních nasazení VMware do moderních hyperkonvergovaných infrastruktur.

Shrnutí

Operace společnosti Qilin kombinují krádeže přihlašovacích údajů, zneužívání legitimních nástrojů pro správu, techniky BYOVD, cílené útoky na zálohovací systémy a multiplatformní ransomware s cílem maximalizovat dopad a vyhnout se odhalení. Obránci by měli upřednostňovat hygienu přihlašovacích údajů, vícefaktorové ověřování na rozhraních pro vzdálený přístup, segmentaci zálohovacích systémů, důsledné monitorování anomálního používání legitimních nástrojů pro vzdálenou správu a kontroly pro detekci aktivity BYOVD založené na ovladačích. Tato opatření snižují pravděpodobnost, že získané přihlašovací údaje nebo jediný bod kompromitace povedou k plnohodnotnému nasazení ransomwaru.

Trendy

VAROVÁNÍ: Podvod s únikem systémových zdrojů

Phishing, Spam
Výzkumníci v oblasti kybernetické bezpečnosti identifikovali podvodný systém známý jako „WARNING: SYSTEM RESOURCE LEAK“, který využívá falešná systémová upozornění k uvedení uživatelů v omyl. Stránka, která se za tímto systémem skrývá, sice propaguje legitimní aplikaci, ale její metoda doručování založená na zastrašování je klamavá a navržená tak, aby manipulovala uživatele a přiměla je k...

Nejvíce shlédnuto

Načítání...