Qilinin kiristysohjelmaryhmä

Qilin (tunnetaan myös nimillä Agenda, Gold Feather ja Water Galura) on kehittynyt yhdeksi tuottoisimmista nykyään toimivista kiristyshaittaohjelmista palveluna (RaaS). Vuoden 2025 alusta lähtien ryhmä on raportoinut yli 40 uhria kuukaudessa (tammikuu oli ainoa poikkeus), ja vuotosivustojen määrä oli huipussaan noin 100 kesäkuussa. Elo- ja syyskuussa 2025 uhreja oli kummassakin 84. Heinäkuusta 2022 lähtien aktiivisena olleesta Qilinista on sen vauhti ja taktiikat, jotka tekevät siitä riskialttiimman toimijan yrityksille maailmanlaajuisesti.

Ketä iski - Maantiede ja toimialat

Tapahtumatietojen analyysi osoittaa, että Qilinin uhrit ovat keskittyneet Pohjois-Amerikkaan ja Länsi-Eurooppaan, ja Yhdysvallat, Kanada, Iso-Britannia, Ranska ja Saksa ovat eniten kärsineitä maita. Ryhmä suosii tiettyjä toimialoja: valmistusteollisuus muodostaa noin 23 % havaituista kohteista, ammatilliset ja tieteelliset palvelut noin 18 % ja tukkukauppa noin 10 %.

Alkuperäinen käyttöoikeus ja varhainen jalansija

Tutkijat uskovat, että monet Qilinin tytäryhtiöiden tunkeutumiset alkavat vuotaneilla järjestelmänvalvojan tunnistetiedoilla, jotka on saatu dark web -arkistoista. Hyökkääjät käyttävät näitä tunnistetietoja kirjautuakseen sisään VPN-rajapinnan kautta ja muodostaakseen sitten RDP-yhteyksiä toimialueen ohjaimiin ja muihin vaarantuneisiin päätepisteisiin. Sieltä he siirtyvät ympäristön kartoitukseen ja syvempään tiedusteluun.

Valtakirjojen kerääminen ja työkalut

Qilin-kampanjoissa käytetään laajasti tunnistetietojen keräämiseen tarkoitettuja työkaluja ja tekniikoita. Operaattorit ja yhteistyökumppanit käyttävät Mimikatzia yhdessä apuohjelmien, kuten WebBrowserPassView.exe:n, BypassCredGuard.exe:n ja SharpDecryptPwd:n, kanssa salaisuuksien hakemiseen selaimista, järjestelmäsäilöistä ja muista sovelluksista. Kerätyt tunnistetiedot siirretään ulkoisille SMTP-palvelimille Visual Basic -skriptien avulla. Mimikatzin käytössä on havaittu seuraavia toimia:

• tyhjennä Windowsin tapahtumalokit ja muutenkin poista jäljet;
• ota käyttöön SeDebugPrivilege;
• poimi tallennetut Chrome-salasanat SQLite-tietokannoista;
• palauttaa tunnistetiedot aiemmilta kirjautumisilta ja
• kerätä RDP-, SSH- ja Citrix-määritykset ja tunnistetiedot.

Maan ulkopuolista elämää ja laillisia työkaluja väärinkäytetään

Uhkatoimijat yhdistävät ilmeisiä haittaohjelmia laillisiin järjestelmätyökaluihin ja tunnettuihin hallintatyökaluihin sulautuakseen joukkoon. Heidän on nähty avaavan tiedostoja mspaint.exe-, notepad.exe- ja iexplore.exe-ohjelmilla tarkistaakseen manuaalisesti sisällön arkaluonteisten tietojen varalta ja käyttävän aitoa Cyberduck-asiakasohjelmaa siirtääkseen valittuja tiedostoja etäpalvelimille piilottaen samalla pahantahtoiset aikomuksensa.

Kuinka varastettuja tunnistetietoja hyödynnetään

Kun tunnistetiedot on saatu, Qilin-toimijat laajentavat käyttöoikeuksiaan ja levittävät niitä sivusuunnassa. Laajennettuja käyttöoikeuksia on käytetty useiden etävalvonta- ja -hallintatuotteiden (RMM) sekä etäkäyttötuotteiden – AnyDeskin, Chrome Remote Desktopin, Distant Desktopin, GoToDeskin, QuickAssistin ja ScreenConnectin – asentamiseen, vaikka tutkijat (Talos) eivät aina pystyneet määrittämään, käytettiinkö kutakin tuotetta ensisijaisesti sivuttaisliikkeeseen vai pysyvään etähallintaan.

Väistely, pysyvyys ja hyväksikäytön jälkeinen toiminta

Välttääkseen havaitsemisen hyökkääjät suorittavat PowerShell-sekvenssejä, jotka poistavat AMSI:n käytöstä, sammuttavat TLS-varmenteen validoinnin ja ottavat käyttöön rajoitetun järjestelmänvalvojan tilan. He käyttävät myös kill-switch-tyyppisiä apuohjelmia, kuten dark-kill ja HRSword, tietoturvatuotteiden sulkemiseen. Pysyvyyden ja peitellyn komento- ja hallintajärjestelmän varmistamiseksi he käyttävät Cobalt Strikea ja SystemBC:tä.

Kiristysohjelmien käyttöönotto ja puhdistus

Viimeinen vaihe on Qilin-kiristysohjelman käyttöönotto: tiedostot salataan, lunnasvaatimukset pudotetaan salattuihin kansioihin, Windowsin tapahtumalokit tyhjennetään ja kaikki Volume Shadow Copy Servicen (VSS) luomat varjokopiot poistetaan palautuspyrkimysten vaikeuttamiseksi.

Edistyneet hybridihyökkäysketjut (Linux-binääritiedosto Windowsissa + BYOVD)
Joissakin kehittyneissä Qilin-tapauksissa on yhdistetty useita kehittyneitä tekniikoita. Operaattorit ovat ottaneet käyttöön Linuxille käännetyn kiristysohjelmabinääritiedoston, mutta suorittaneet sen Windows-koneilla, yhdistäneet kyseisen hyötykuorman "tuo oma haavoittuva ajuri" (BYOVD) -tekniikkaan puolustusmekanismien poistamiseksi käytöstä ja käyttäneet laillisia IT-hallintatyökaluja liikkuakseen ympäristössä ja suorittaakseen hyötykuormat. Näissä hyökkäyksissä eskle.sys-ajurin havaittiin olevan haavoittuva ajurikomponentti, jota käytettiin suojauskontrollien poistamiseen käytöstä, prosessien lopettamiseen ja havaitsemisen välttämiseen.

Varmuuskopiointi ja räätälöity tunnistetietojen varkaus

Qilin on kohdistanut hyökkäyksensä erityisesti Veeamin varmuuskopiointi-infrastruktuuriin. Hyökkääjät käyttivät erikoistuneita tunnistetietojen keruutyökaluja varmuuskopiotietokannoissa kerätäkseen tunnistetietoja, vaarantaen järjestelmällisesti organisaatioiden palautusjärjestelmät ennen kiristysohjelmien levittämistä, mikä nosti merkittävästi uhrien asemaa.

Tietojenkalastelu ja väärennetyt CAPTCHA-toimitusmekanismit

Pätevän tilin väärinkäytön lisäksi tietyt tunkeutumiset alkoivat tiedonhaulla tai ClickFix-tyylisillä väärennetyillä CAPTCHA-sivuilla, joita ylläpidetään Cloudflare R2:ssa. Nämä sivut näyttävät toimittavan tietoja varastavia hyötykuormia, jotka keräävät tunnistetietoja, joita sitten käytetään uudelleen alkuperäisen verkkoyhteyden saamiseksi.

Keskeisimpiä havaittuja tekniikoita ja infrastruktuuria ovat:

• SOCKS-välityspalvelimen DLL-tiedoston käyttöönotto etäkäytön ja komentojen suorittamisen mahdollistamiseksi.
• ScreenConnectin väärinkäyttö etsintäkomentojen ja verkon skannaustyökalujen suorittamiseen sivuttaisliikkeen kohteiden paikantamiseksi.
• Veeam-varmuuskopiointijärjestelmien kohdentaminen varmuuskopiointitunnistetietojen poimimiseksi useista tietokannoista.
• eskle.sys-ajurin käyttäminen BYOVD-hyökkäyksissä tietoturvaohjelmistojen neutraloimiseksi ja puolustusprosessien lopettamiseksi.
• PuTTY SSH -asiakkaiden käyttöönotto lateraalista siirtymistä varten Linux-isäntiin.
• SOCKS-välityspalvelininstanssien suorittaminen eri hakemistoissa C2-liikenteen hämärtämiseksi COROXY-takaoven kautta.
• WinSCP:n käyttö Linux-kiristysohjelman binääritiedoston siirtämiseen Windows-järjestelmiin.
• Splashtop Remoten SRManager.exe-tiedoston hyödyntäminen Linux-kiristysohjelmabinäärin suorittamiseen suoraan Windows-koneilla.

Vaikuttavuus ja virtualisoinnin kohdentaminen eri alustoilla

Linux-binääritiedosto tarjoaa alustojen välisen yhteensopivuuden: yksi hyötykuorma voi vaikuttaa sekä Linux- että Windows-järjestelmiin samassa ympäristössä. Äskettäin Qilin-näytteitä päivitettiin havaitsemaan Nutanix AHV -ympäristöjä, mikä osoittaa, että ryhmä laajentaa kohdentamista perinteisten VMware-käyttöönottojen ulkopuolelle nykyaikaisiin hyperkonvergoituihin infrastruktuureihin.

Yhteenveto

Qilinin toiminnassa yhdistyvät tunnistetietojen varastamine, laillisten hallintatyökalujen väärinkäyttö, BYOVD-tekniikat, kohdennetut hyökkäykset varmuuskopiojärjestelmiin ja alustojen välinen kiristysohjelmatoiminta maksimoidakseen vaikutuksen ja välttääkseen havaitsemisen. Puolustajien tulisi priorisoida tunnistetietojen hygieniaa, monivaiheista todennusta etäkäyttöliittymissä, varmuuskopiojärjestelmien segmentointia, laillisten etähallintatyökalujen poikkeavan käytön tarkkaa valvontaa sekä toimenpiteitä ajuripohjaisen BYOVD-toiminnan havaitsemiseksi. Nämä toimenpiteet vähentävät todennäköisyyttä, että kerätyt tunnistetiedot tai yksittäinen tietomurtokohta johtaa täysimittaiseen kiristysohjelmien käyttöönottoon.