Qilin Ransomware-gruppe

Qilin (også kjent som Agenda, Gold Feather og Water Galura) har utviklet seg til en av de mest produktive Ransomware-as-a-Service (RaaS)-operasjonene som er aktive i dag. Siden starten av 2025 har gruppen registrert mer enn 40 ofre per måned (januar var det eneste unntaket), med en topp på omtrent 100 lekkasjeoppføringer i juni og 84 ofre i både august og september 2025. Qilin har vært aktiv siden omtrent juli 2022, og tempoet og taktikken gjør dem til en høyrisikoaktør for bedrifter over hele verden.

Hvem ble truffet - Geografi og bransjer

Analyse av hendelsestelemetri viser at Qilins ofre er konsentrert i Nord-Amerika og Vest-Europa, med USA, Canada, Storbritannia, Frankrike og Tyskland blant de hardest rammede landene. Gruppen favoriserer visse vertikaler: produksjon står for omtrent 23 % av de observerte målene, profesjonelle og vitenskapelige tjenester omtrent 18 %, og engroshandel omtrent 10 %.

Første tilgang og tidlig fotfeste

Etterforskere mener at mange innbrudd i Qilin-tilknyttede selskaper starter med lekket administrativ legitimasjon hentet fra databaser på det mørke nettet. Motstandere bruker denne legitimasjonen til å logge inn via et VPN-grensesnitt og deretter utføre RDP-tilkoblinger til domenekontrollere og andre kompromitterte endepunkter. Derfra går de videre til miljøkartlegging og dypere rekognosering.

Innsamling og verktøy for legitimasjon

Qilin-kampanjer bruker i stor grad verktøy og teknikker for innsamling av legitimasjonsinformasjon. Operatører og tilknyttede selskaper kjører Mimikatz sammen med verktøy som WebBrowserPassView.exe, BypassCredGuard.exe og SharpDecryptPwd for å hente hemmeligheter fra nettlesere, systemlagre og andre applikasjoner. Innsamlet legitimasjonsinformasjon filtreres til eksterne SMTP-servere ved hjelp av Visual Basic-skript. Mimikatz-bruk observert i praksis inkluderte handlinger for å:

• tøm Windows-hendelseslogger og slett spor på andre måter;
• aktiver SeDebugPrivilege;
• hent ut lagrede Chrome-passord fra SQLite-databaser;
• gjenopprette legitimasjon fra tidligere pålogginger; og
• innhøstingskonfigurasjon og påloggingsinformasjon for RDP, SSH og Citrix.

Å leve av landet og misbruke legitime verktøy

Trusselaktørene blander åpenbar skadelig programvare med legitime systemverktøy og velkjente administrasjonsverktøy for å gli inn i bildet. De har blitt sett åpne filer med mspaint.exe, notepad.exe og iexplore.exe for å manuelt inspisere innhold for sensitiv informasjon, og bruke den ekte Cyberduck-klienten til å overføre utvalgte filer til eksterne servere mens de skjuler ondsinnede hensikter.

Hvordan stjålne legitimasjonsopplysninger utnyttes

Når legitimasjonen er i hende, eskalerer Qilin-aktører privilegier og sprer dem lateralt. Forhøyet tilgang har blitt brukt til å installere en rekke produkter for fjernovervåking og -administrasjon (RMM) og fjerntilgang – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist og ScreenConnect – selv om forskere (Talos) ikke alltid kunne avgjøre om hvert produkt primært ble brukt til lateral bevegelse eller til vedvarende fjernkontroll.

Unnvikelse, vedvarende og etterutnyttelse

For å unngå å bli oppdaget, kjører angriperne PowerShell-sekvenser som deaktiverer AMSI, slår av TLS-sertifikatvalidering og aktiverer begrenset administratormodus. De bruker også kill-switch-lignende verktøy som dark-kill og HRSword for å avslutte sikkerhetsprodukter. For persistens og skjult kommando og kontroll bruker de Cobalt Strike og SystemBC.

Distribusjon og opprydding av løsepengevirus

Det siste stadiet er utrullingen av Qilin ransomware: filer krypteres, løsepengemeldinger legges i krypterte mapper, Windows-hendelseslogger slettes, og alle skyggekopier opprettet av Volume Shadow Copy Service (VSS) slettes for å forpurre gjenopprettingsarbeidet.

Avanserte hybride angrepskjeder (Linux binær på Windows + BYOVD)
Noen sofistikerte Qilin-hendelser har kombinert flere avanserte teknikker. Operatører har distribuert en Linux-kompilert ransomware-binærfil, men kjørt den på Windows-verter, koblet denne nyttelasten med en «bring your own vulnerable driver» (BYOVD)-teknikk for å deaktivere forsvar, og brukt legitime IT-administrasjonsverktøy for å bevege seg gjennom miljøet og kjøre nyttelaster. I disse angrepene ble eskle.sys-driveren observert som den sårbare driverkomponenten som ble brukt til å deaktivere sikkerhetskontroller, avslutte prosesser og unngå deteksjon.

Sikkerhetskopiering og skreddersydd legitimasjonstyveri

Qilin har spesielt rettet seg mot Veeams sikkerhetskopieringsinfrastruktur. Angripere brukte spesialiserte verktøy for å utvinne legitimasjon mot sikkerhetskopieringsdatabaser for å samle legitimasjon, og kompromitterte systematisk organisasjonenes plattformer for katastrofegjenoppretting før de sluppet ransomware, noe som økte risikoen for de berørte ofrene betydelig.

Phishing og falske CAPTCHA-leveringsmekanismer

Utover gyldig kontomisbruk, startet visse inntrenginger med spear-phishing eller med falske CAPTCHA-sider i ClickFix-stil som ligger på Cloudflare R2. Disse sidene ser ut til å levere informasjonstyvende nyttelaster som samler inn legitimasjon, som deretter brukes på nytt for å få initial nettverkstilgang.

Viktige teknikker og infrastruktur som er observert inkluderer:

• Distribuerer en SOCKS proxy-DLL for å aktivere ekstern tilgang og kommandoutførelse.
• Misbruker ScreenConnect til å kjøre oppdagelseskommandoer og nettverksskanningsverktøy for å finne mål for lateral bevegelse.
• Målretting av Veeam-sikkerhetskopieringssystemer for å hente ut sikkerhetskopilegitimasjon fra flere databaser.
• Bruk av eskle.sys-driveren i BYOVD-angrep for å nøytralisere sikkerhetsprogramvare og avslutte defensive prosesser.
• Distribuerer PuTTY SSH-klienter for å flytte lateralt til Linux-verter.
• Kjører SOCKS proxy-instanser på tvers av forskjellige kataloger for å obfuskere C2-trafikk via COROXY-bakdøren.
• Bruk av WinSCP til å flytte Linux ransomware-binærfilen til Windows-systemer.
• Bruk av Splashtop Remotes SRManager.exe til å kjøre Linux ransomware-binærfilen direkte på Windows-maskiner.

Kryssplattformpåvirkning og virtualiseringsmålretting

Linux-binærfilen gir plattformuavhengighet: én enkelt nyttelast kan påvirke både Linux- og Windows-systemer i et miljø. Nylig ble Qilin-eksempler oppdatert for å oppdage Nutanix AHV-miljøer, noe som viser at gruppen utvider målrettingen utover tradisjonelle VMware-distribusjoner til moderne hyperkonvergerte infrastrukturer.

Sammendrag

Qilins operasjon kombinerer tyveri av legitimasjon, misbruk av legitime administrasjonsverktøy, BYOVD-teknikker, målrettede angrep på sikkerhetskopieringssystemer og ransomware på tvers av plattformer for å maksimere effekten og unngå oppdagelse. Forsvarere bør prioritere legitimasjonshygiene, flerfaktorautentisering på grensesnitt for ekstern tilgang, segmentering av sikkerhetskopieringssystemer, streng overvåking for unormal bruk av legitime verktøy for fjernadministrasjon og kontroller for å oppdage driverbasert BYOVD-aktivitet. Disse tiltakene reduserer sannsynligheten for at innhentede legitimasjonsopplysninger eller et enkelt kompromitteringspunkt vil føre til fullskala utrulling av ransomware.