Ponuda s popustom na više licenci
Baza prijetnji Ransomware Qilin Ransomware Group

Qilin Ransomware Group

Do Mezo. Ransomware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Qilin (također poznat kao Agenda, Gold Feather i Water Galura) evoluirao je u jednu od najplodnijih Ransomware-as-a-Service (RaaS) operacija aktivnih danas. Od početka 2025. grupa objavljuje više od 40 žrtava mjesečno (siječanj je bio jedina iznimka), dosegnuvši vrhunac od otprilike 100 ulazaka na stranice za curenje u lipnju i zabilježivši 84 žrtve u kolovozu i rujnu 2025. Aktivan od otprilike srpnja 2022., Qilinov tempo i taktike čine ga visokorizičnim akterom za poduzeća diljem svijeta.

Tko je pogođen - Geografija i industrije

Analiza telemetrije incidenata pokazuje da su Qilinove žrtve koncentrirane u Sjevernoj Americi i Zapadnoj Europi, a Sjedinjene Američke Države, Kanada, Ujedinjeno Kraljevstvo, Francuska i Njemačka su među najugroženijim zemljama. Grupa favorizira određene vertikale: proizvodnja čini oko 23% promatranih ciljeva, profesionalne i znanstvene usluge oko 18%, a veleprodaja otprilike 10%.

Početni pristup i rano uporište

Istražitelji vjeruju da mnogi upadi povezanih tvrtki Qilina započinju curenjem administratorskih vjerodajnica dobivenih iz repozitorija dark weba. Protivnici koriste te vjerodajnice za prijavu putem VPN sučelja, a zatim uspostavljaju RDP veze s kontrolerima domena i drugim kompromitiranim krajnjim točkama. Odatle prelaze na mapiranje okruženja i dublje izviđanje.

Prikupljanje vjerodajnica i alati

Qilinove kampanje uvelike koriste alate i tehnike za prikupljanje vjerodajnica. Operateri i partneri pokreću Mimikatz zajedno s uslužnim programima kao što su WebBrowserPassView.exe, BypassCredGuard.exe i SharpDecryptPwd kako bi izvukli tajne iz preglednika, sistemskih pohrana i drugih aplikacija. Prikupljene vjerodajnice se prenose na vanjske SMTP poslužitelje pomoću Visual Basic skripti. Uočena upotreba Mimikatza uključivala je sljedeće radnje:

  • obrisati zapisnike događaja sustava Windows i na druge načine izbrisati tragove;
  • omogući SeDebugPrivilege;
  • izdvojiti spremljene Chrome lozinke iz SQLite baza podataka;
  • oporaviti vjerodajnice iz prethodnih prijava; i
  • prikupljanje konfiguracije i vjerodajnica za RDP, SSH i Citrix.

Život od zemlje i zlouporaba legitimnih alata

Akteri prijetnji miješaju očiti zlonamjerni softver s legitimnim sistemskim uslužnim programima i poznatim administratorskim alatima kako bi se uklopili. Viđeni su kako otvaraju datoteke pomoću mspaint.exe, notepad.exe i iexplore.exe kako bi ručno pregledali sadržaj u potrazi za osjetljivim informacijama te koriste pravi Cyberduck klijent za prijenos odabranih datoteka na udaljene poslužitelje, skrivajući pritom zlonamjernu namjeru.

Kako se iskorištavaju ukradene vjerodajnice

Nakon što su pristupne vjerodajnice, Qilin akteri eskaliraju privilegije i šire se lateralno. Povišeni pristup korišten je za instaliranje raznih proizvoda za daljinsko praćenje i upravljanje (RMM) i daljinski pristup - AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist i ScreenConnect - iako istraživači (Talos) nisu uvijek mogli utvrditi je li svaki proizvod prvenstveno korišten za lateralno kretanje ili za trajno daljinsko upravljanje.

Izbjegavanje, upornost i post-eksploatacija

Kako bi izbjegli otkrivanje, napadači izvršavaju PowerShell sekvence koje onemogućuju AMSI, isključuju provjeru valjanosti TLS certifikata i omogućuju način rada s ograničenim administratorom. Također koriste uslužne programe u stilu kill-switcha kao što su dark-kill i HRSword za prekidanje sigurnosnih proizvoda. Za perzistentnost i prikriveno naređivanje i upravljanje koriste Cobalt Strike i SystemBC.

Implementacija i čišćenje ransomwarea

Završna faza je implementacija Qilin ransomwarea: datoteke se šifriraju, bilješke o otkupnini se spremaju u šifrirane mape, zapisnici događaja sustava Windows se brišu, a sve kopije u sjeni koje je stvorila usluga Volume Shadow Copy Service (VSS) brišu se kako bi se otežali napori oporavka.

Napredni hibridni lanci napada (Linux binarni program na Windowsima + BYOVD)
Neki sofisticirani Qilin incidenti kombinirali su nekoliko naprednih tehnika. Operateri su implementirali Linux kompajlirani ransomware binarni program, ali su ga izvršavali na Windows hostovima, uparili taj teret s tehnikom 'donesi svoj vlastiti ranjivi upravljački program' (BYOVD) kako bi onemogućili obranu i koristili legitimne alate za IT upravljanje za kretanje kroz okruženje i izvršavanje tereta. U tim napadima upravljački program eskle.sys uočen je kao ranjiva komponenta upravljačkog programa koja se koristi za onemogućavanje sigurnosnih kontrola, zaustavljanje procesa i izbjegavanje otkrivanja.

Ciljanje sigurnosnih kopija i prilagođena krađa vjerodajnica

Qilin je posebno ciljao Veeam infrastrukturu sigurnosnih kopija. Napadači su koristili specijalizirane alate za ekstrakciju vjerodajnica iz sigurnosnih kopija baza podataka kako bi prikupili vjerodajnice, sustavno ugrožavajući platforme organizacija za oporavak od katastrofe prije nego što su postavili ransomware, značajno povećavajući rizik za pogođene žrtve.

Mehanizmi za phishing i lažnu CAPTCHA isporuku

Osim valjane zlouporabe računa, određeni upadi započeli su spear-phishingom ili lažnim CAPTCHA stranicama u stilu ClickFixa hostiranim na Cloudflare R2. Čini se da te stranice isporučuju korisne podatke za krađu informacija koji prikupljaju vjerodajnice, a zatim se ponovno koriste za dobivanje početnog pristupa mreži.

Ključne tehnike i uočena infrastruktura uključuju:

  • Implementacija SOCKS proxy DLL-a za omogućavanje udaljenog pristupa i izvršavanja naredbi.
  • Zloupotreba ScreenConnecta za pokretanje naredbi za otkrivanje i alata za skeniranje mreže radi lociranja ciljeva bočnog kretanja.
  • Ciljanje Veeam sustava za sigurnosno kopiranje za izdvajanje sigurnosnih vjerodajnica iz više baza podataka.
  • Korištenje upravljačkog programa eskle.sys u BYOVD napadima za neutralizaciju sigurnosnog softvera i prekid obrambenih procesa.
  • Implementacija PuTTY SSH klijenata za lateralno premještanje na Linux hostove.
  • Pokretanje SOCKS proxy instanci u različitim direktorijima radi maskiranja C2 prometa putem COROXY backdoora.
  • Korištenje WinSCP-a za premještanje binarnog Linux ransomwarea na Windows sustave.
  • Korištenje SRManager.exe programa Splashtop Remote za izravno izvršavanje binarnog Linux ransomware programa na Windows računalima.

Utjecaj na više platformi i ciljanje virtualizacije

Linux binarni program pruža višeplatformske mogućnosti: jedan korisni teret može utjecati i na Linux i na Windows sustave u okruženju. Nedavno su Qilinovi uzorci ažurirani kako bi otkrili Nutanix AHV okruženja, što pokazuje da grupa proširuje ciljanje izvan tradicionalnih VMware implementacija na moderne hiperkonvergentne infrastrukture.

Sažetak

Qilinova operacija kombinira krađu vjerodajnica, zlouporabu legitimnih administratorskih alata, BYOVD tehnike, ciljane napade na sigurnosne sustave i višeplatformski ransomware kako bi se maksimizirao utjecaj i izbjeglo otkrivanje. Branitelji bi trebali dati prioritet higijeni vjerodajnica, višefaktorskoj autentifikaciji na sučeljima za udaljeni pristup, segmentaciji sigurnosnih sustava, rigoroznom praćenju anomalne upotrebe legitimnih alata za daljinsko upravljanje i kontrolama za otkrivanje BYOVD aktivnosti temeljene na upravljačkim programima. Ove mjere smanjuju vjerojatnost da će prikupljene vjerodajnice ili jedna točka kompromitiranja dovesti do potpunog postavljanja ransomwarea.

U trendu

Nagledanije

Učitavam...