Preventivo sconto multi-licenza
Database delle minacce Riscatto Gruppo ransomware Qilin

Gruppo ransomware Qilin

Entro Mezo nel Riscatto, Minaccia persistente avanzata (APT)
Traduci in:

Qilin (tracciato anche come Agenda, Gold Feather e Water Galura) si è evoluto in una delle operazioni Ransomware-as-a-Service (RaaS) più prolifiche attualmente attive. Dall'inizio del 2025, il gruppo ha registrato più di 40 vittime al mese (gennaio è stata l'unica eccezione), raggiungendo un picco di circa 100 segnalazioni di siti di fuga di notizie a giugno e registrando 84 vittime ciascuno tra agosto e settembre 2025. Attivo da circa luglio 2022, il ritmo e le tattiche di Qilin lo rendono un attore ad alto rischio per le aziende di tutto il mondo.

Chi è stato colpito - Geografia e settori industriali

L'analisi della telemetria degli incidenti mostra che le vittime di Qilin sono concentrate in Nord America e in Europa occidentale, con Stati Uniti, Canada, Regno Unito, Francia e Germania tra i paesi più colpiti. Il gruppo privilegia alcuni settori verticali: il settore manifatturiero rappresenta circa il 23% degli obiettivi osservati, i servizi professionali e scientifici circa il 18% e il commercio all'ingrosso circa il 10%.

Accesso iniziale e primo punto d’appoggio

Gli investigatori ritengono che molte intrusioni degli affiliati Qilin abbiano inizio con la fuga di credenziali amministrative ottenute da repository del dark web. Gli aggressori utilizzano tali credenziali per accedere tramite un'interfaccia VPN e quindi stabilire connessioni RDP a controller di dominio e altri endpoint compromessi. Da lì, procedono con la mappatura dell'ambiente e una ricognizione più approfondita.

Raccolta e utilizzo di credenziali

Le campagne Qilin fanno ampio uso di strumenti e tecniche di raccolta di credenziali. Operatori e affiliati utilizzano Mimikatz insieme a utility come WebBrowserPassView.exe, BypassCredGuard.exe e SharpDecryptPwd per estrarre informazioni riservate da browser, archivi di sistema e altre applicazioni. Le credenziali raccolte vengono esfiltrate su server SMTP esterni tramite script Visual Basic. L'utilizzo di Mimikatz osservato in natura includeva azioni per:

  • cancellare i registri eventi di Windows e cancellare le tracce;
  • abilita SeDebugPrivilege;
  • estrarre le password di Chrome salvate dai database SQLite;
  • recuperare le credenziali dagli accessi precedenti; e
  • configurazione e credenziali di raccolta per RDP, SSH e Citrix.

Vivere della terra e abusare degli strumenti legittimi

Gli autori della minaccia combinano malware palesi con utilità di sistema legittime e noti strumenti di amministrazione per mimetizzarsi. Sono stati visti aprire file con mspaint.exe, notepad.exe e iexplore.exe per ispezionare manualmente il contenuto alla ricerca di informazioni sensibili e utilizzare il client Cyberduck autentico per trasferire file selezionati su server remoti, nascondendo al contempo intenti dannosi.

Come vengono sfruttate le credenziali rubate

Una volta ottenute le credenziali, gli autori di Qilin aumentano i privilegi e si diffondono lateralmente. L'accesso elevato è stato utilizzato per installare una varietà di prodotti di monitoraggio e gestione remota (RMM) e di accesso remoto – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist e ScreenConnect – sebbene i ricercatori (Talos) non siano sempre riusciti a determinare se ciascun prodotto fosse utilizzato principalmente per il movimento laterale o per il controllo remoto persistente.

Evasione, persistenza e post-sfruttamento

Per eludere il rilevamento, gli aggressori eseguono sequenze di PowerShell che disabilitano AMSI, disattivano la convalida dei certificati TLS e abilitano la modalità Amministratore con restrizioni. Utilizzano inoltre utility in stile kill switch come dark-kill e HRSword per terminare i prodotti di sicurezza. Per la persistenza e il comando e controllo occulto, utilizzano Cobalt Strike e SystemBC.

Distribuzione e pulizia del ransomware

La fase finale è l'implementazione del ransomware Qilin: i file vengono crittografati, le richieste di riscatto vengono inserite in cartelle crittografate, i registri eventi di Windows vengono cancellati e tutte le copie shadow create dal Volume Shadow Copy Service (VSS) vengono eliminate, vanificando così gli sforzi di recupero.

Catene di attacco ibride avanzate (binario Linux su Windows + BYOVD)
Alcuni sofisticati incidenti Qilin hanno combinato diverse tecniche avanzate. Gli operatori hanno distribuito un binario ransomware compilato per Linux, ma lo hanno eseguito su host Windows, hanno abbinato quel payload a una tecnica BYOVD (Bring Your Own Vulnerable Driver) per disabilitare le difese e hanno utilizzato strumenti di gestione IT legittimi per muoversi nell'ambiente ed eseguire i payload. In questi attacchi, il driver eskle.sys è stato individuato come componente vulnerabile utilizzato per disabilitare i controlli di sicurezza, interrompere i processi ed eludere il rilevamento.

Targeting di backup e furto di credenziali personalizzato

Qilin ha preso di mira specificamente l'infrastruttura di backup di Veeam. Gli aggressori hanno utilizzato strumenti specializzati per l'estrazione delle credenziali sui database di backup, compromettendo sistematicamente le piattaforme di disaster recovery delle organizzazioni prima di rilasciare il ransomware, aumentando significativamente la posta in gioco per le vittime colpite.

Meccanismi di phishing e di consegna di CAPTCHA falsi

Oltre all'abuso di account legittimo, alcune intrusioni hanno avuto origine con lo spear-phishing o con pagine CAPTCHA false in stile ClickFix ospitate su Cloudflare R2. Queste pagine sembrano inviare payload di furto di informazioni che raccolgono credenziali, che vengono poi riutilizzate per ottenere l'accesso iniziale alla rete.

Le principali tecniche e infrastrutture osservate includono:

  • Distribuzione di una DLL proxy SOCKS per abilitare l'accesso remoto e l'esecuzione dei comandi.
  • Utilizzo improprio di ScreenConnect per eseguire comandi di individuazione e strumenti di scansione di rete per individuare obiettivi di movimento laterale.
  • Prendere di mira i sistemi di backup Veeam per estrarre le credenziali di backup da più database.
  • Utilizzo del driver eskle.sys negli attacchi BYOVD per neutralizzare il software di sicurezza e terminare i processi difensivi.
  • Distribuzione di client PuTTY SSH per lo spostamento laterale negli host Linux.
  • Esecuzione di istanze proxy SOCKS su directory diverse per offuscare il traffico C2 tramite la backdoor COROXY.
  • Utilizzo di WinSCP per spostare il file binario del ransomware Linux sui sistemi Windows.
  • Utilizzo di SRManager.exe di Splashtop Remote per eseguire il file binario del ransomware Linux direttamente sui computer Windows.

Impatto multipiattaforma e targeting della virtualizzazione

Il binario Linux offre funzionalità multipiattaforma: un singolo payload può influenzare sia i sistemi Linux che Windows in un ambiente. Più di recente, i campioni Qilin sono stati aggiornati per rilevare gli ambienti Nutanix AHV, a dimostrazione del fatto che il gruppo sta espandendo il targeting oltre le tradizionali distribuzioni VMware, includendo anche le moderne infrastrutture iperconvergenti.

Riepilogo

L'operazione di Qilin combina furto di credenziali, uso improprio di strumenti di amministrazione legittimi, tecniche BYOVD, attacchi mirati ai sistemi di backup e ransomware multipiattaforma per massimizzare l'impatto ed evitare il rilevamento. I difensori dovrebbero dare priorità all'igiene delle credenziali, all'autenticazione a più fattori sulle interfacce di accesso remoto, alla segmentazione dei sistemi di backup, a un monitoraggio rigoroso per l'uso anomalo di strumenti di gestione remota legittimi e a controlli per rilevare attività BYOVD basate sui driver. Queste misure riducono la probabilità che le credenziali raccolte o un singolo punto di compromissione portino a una distribuzione su larga scala di ransomware.

Tendenza

I più visti

Caricamento in corso...