Rabattilbud med flere licenser
Trusseldatabase Ransomware Qilin Ransomware-gruppen

Qilin Ransomware-gruppen

Med Mezo i Ransomware, Advanced Persistent Threat (APT)
Oversæt til:

Qilin (også kendt som Agenda, Gold Feather og Water Galura) har udviklet sig til en af de mest produktive Ransomware-as-a-Service (RaaS) operationer, der er aktive i dag. Siden starten af 2025 har gruppen registreret mere end 40 ofre om måneden (januar var den eneste undtagelse), med et toppede antal på omkring 100 lækagesider i juni og 84 ofre i både august og september 2025. Qilin har været aktiv siden omkring juli 2022, og med sit tempo og taktik er den en højrisikoaktør for virksomheder verden over.

Hvem blev ramt - Geografi og industrier

Analyse af hændelsens telemetri viser, at Qilins ofre er koncentreret i Nordamerika og Vesteuropa, hvor USA, Canada, Storbritannien, Frankrig og Tyskland er blandt de mest berørte lande. Gruppen foretrækker visse vertikaler: fremstilling tegner sig for omkring 23 % af de observerede mål, professionelle og videnskabelige tjenester omkring 18 % og engroshandel omkring 10 %.

Første adgang og tidligt fodfæste

Efterforskere mener, at mange indbrud fra Qilin-tilknyttede selskaber starter med lækkede administrative legitimationsoplysninger fra dark web-lagre. Modstandere bruger disse legitimationsoplysninger til at logge ind via en VPN-grænseflade og derefter udføre RDP-forbindelser til domænecontrollere og andre kompromitterede endpoints. Derfra går de videre til miljøkortlægning og dybere rekognoscering.

Indsamling og værktøjsarbejde til legitimationsoplysninger

Qilin-kampagner gør i vid udstrækning brug af værktøjer og teknikker til indsamling af legitimationsoplysninger. Operatører og tilknyttede selskaber kører Mimikatz sammen med værktøjer som WebBrowserPassView.exe, BypassCredGuard.exe og SharpDecryptPwd for at hente hemmeligheder fra browsere, systemlagre og andre applikationer. Indsamlede legitimationsoplysninger filtreres til eksterne SMTP-servere ved hjælp af Visual Basic-scripts. Mimikatz-brug observeret i naturen omfattede handlinger til at:

  • ryd Windows-hændelseslogfiler og slet spor på anden vis;
  • aktiver SeDebugPrivilege;
  • udtræk gemte Chrome-adgangskoder fra SQLite-databaser;
  • gendanne legitimationsoplysninger fra tidligere logins; og
  • Harvest-konfiguration og legitimationsoplysninger til RDP, SSH og Citrix.

At leve af jorden og misbrug af legitime værktøjer

Trusselaktørerne blander åbenlys malware med legitime systemværktøjer og velkendte administrationsværktøjer for at blive en del af billedet. De er blevet set åbne filer med mspaint.exe, notepad.exe og iexplore.exe for manuelt at inspicere indhold for følsomme oplysninger og bruge den ægte Cyberduck-klient til at overføre udvalgte filer til eksterne servere, mens de skjuler ondsindede hensigter.

Hvordan stjålne legitimationsoplysninger udnyttes

Når legitimationsoplysningerne er i hånden, eskalerer Qilin-aktører privilegier og spreder dem lateralt. Forhøjet adgang er blevet brugt til at installere en række fjernovervågnings- og administrationsprodukter (RMM) og fjernadgangsprodukter - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist og ScreenConnect - selvom forskere (Talos) ikke altid kunne afgøre, om hvert produkt primært blev brugt til lateral bevægelse eller til vedvarende fjernstyring.

Undvigelse, vedholdenhed og efterudnyttelse

For at undgå at blive opdaget, udfører angriberne PowerShell-sekvenser, der deaktiverer AMSI, slår TLS-certifikatvalidering fra og aktiverer begrænset administratortilstand. De implementerer også kill-switch-lignende værktøjer såsom dark-kill og HRSword til at afslutte sikkerhedsprodukter. For persistens og skjult kommando og kontrol bruger de Cobalt Strike og SystemBC.

Ransomware-implementering og oprydning

Den sidste fase er implementeringen af Qilin ransomware: filer krypteres, løsesumsnotater placeres i krypterede mapper, Windows-hændelseslogfiler slettes, og alle skyggekopier oprettet af Volume Shadow Copy Service (VSS) slettes for at forpurre gendannelsesindsatsen.

Avancerede hybride angrebskæder (Linux binær på Windows + BYOVD)
Nogle sofistikerede Qilin-hændelser har kombineret adskillige avancerede teknikker. Operatører har implementeret en Linux-kompileret ransomware-binærfil, men udført den på Windows-værter, parret denne nyttelast med en 'bring your own vulnerable driver' (BYOVD)-teknik for at deaktivere forsvar og brugt legitime IT-administrationsværktøjer til at bevæge sig gennem miljøet og udføre nyttelast. I disse angreb blev eskle.sys-driveren observeret som den sårbare driverkomponent, der blev brugt til at deaktivere sikkerhedskontroller, afslutte processer og undgå detektion.

Backup-målretning og skræddersyet legitimationstyveri

Qilin har specifikt målrettet Veeams backupinfrastruktur. Angribere brugte specialiserede værktøjer til udtrækning af legitimationsoplysninger mod backupdatabaser for at indsamle legitimationsoplysninger, hvilket systematisk kompromitterede organisationers platforme til katastrofegendannelse, før de droppede ransomware, hvilket øgede risikoen for de berørte ofre betydeligt.

Phishing og falske CAPTCHA-leveringsmekanismer

Ud over gyldigt kontomisbrug begyndte visse indtrængen med spear-phishing eller med falske CAPTCHA-sider i ClickFix-stil, der hostes på Cloudflare R2. Disse sider ser ud til at levere informationsstjælende data, der indsamler legitimationsoplysninger, som derefter genbruges for at opnå indledende netværksadgang.

Vigtige observerede teknikker og infrastruktur omfatter:

  • Implementering af en SOCKS proxy-DLL for at muliggøre fjernadgang og kommandoudførelse.
  • Misbrug af ScreenConnect til at køre registreringskommandoer og netværksscanningsværktøjer for at lokalisere mål for lateral bevægelse.
  • Målretning af Veeam-backupsystemer for at udtrække backup-legitimationsoplysninger fra flere databaser.
  • Brug af eskle.sys-driveren i BYOVD-angreb til at neutralisere sikkerhedssoftware og afslutte defensive processer.
  • Implementering af PuTTY SSH-klienter for at flytte dem lateralt til Linux-værter.
  • Kørsel af SOCKS proxy-instanser på tværs af forskellige mapper for at tilsløre C2-trafik via COROXY-bagdøren.
  • Brug af WinSCP til at flytte Linux ransomware-binærfilen til Windows-systemer.
  • Udnyttelse af Splashtop Remotes SRManager.exe til at køre Linux ransomware-binærfilen direkte på Windows-maskiner.

Påvirkning på tværs af platforme og virtualiseringsmålretning

Linux-binærfilen tilbyder cross-platform-funktionalitet: en enkelt nyttelast kan påvirke både Linux- og Windows-systemer i et miljø. For nylig blev Qilin-eksempler opdateret for at detektere Nutanix AHV-miljøer, hvilket viser, at gruppen udvider målretningen ud over traditionelle VMware-implementeringer til moderne hyperkonvergerede infrastrukturer.

Oversigt

Qilins operation kombinerer tyveri af legitimationsoplysninger, misbrug af legitime administrationsværktøjer, BYOVD-teknikker, målrettede angreb på backupsystemer og ransomware på tværs af platforme for at maksimere effekten og undgå opdagelse. Forsvarere bør prioritere legitimationsoplysningernes hygiejne, multifaktorgodkendelse på fjernadgangsgrænseflader, segmentering af backupsystemer, streng overvågning for unormal brug af legitime fjernadministrationsværktøjer og kontroller til at detektere driverbaseret BYOVD-aktivitet. Disse foranstaltninger reducerer sandsynligheden for, at indsamlede legitimationsoplysninger eller et enkelt kompromitteret punkt vil føre til fuldskala ransomware-implementering.

Trending

Mest sete

Indlæser...