Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Ransomware Qilin Ransomware Groep

Qilin Ransomware Groep

Tegen Mezo in Ransomware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Qilin (ook wel Agenda, Gold Feather en Water Galura genoemd) heeft zich ontwikkeld tot een van de meest productieve Ransomware-as-a-Service (RaaS)-operaties die momenteel actief zijn. Sinds begin 2025 heeft de groep meer dan 40 slachtoffers per maand geregistreerd (januari was de enige uitzondering), met een piek van ongeveer 100 meldingen van leklocaties in juni en 84 slachtoffers in augustus en september 2025. Qilin is actief sinds ongeveer juli 2022 en zijn tempo en tactieken maken het een risicovolle speler voor bedrijven wereldwijd.

Wie werd er geraakt? - Geografie en industrieën

Analyse van incidenttelemetrie laat zien dat de slachtoffers van Qilin zich concentreren in Noord-Amerika en West-Europa, met de Verenigde Staten, Canada, het Verenigd Koninkrijk, Frankrijk en Duitsland als de zwaarst getroffen landen. De groep richt zich op bepaalde sectoren: de industrie is goed voor ongeveer 23% van de geobserveerde doelwitten, de professionele en wetenschappelijke dienstverlening voor ongeveer 18% en de groothandel voor ongeveer 10%.

Eerste toegang en vroege voet aan de grond

Onderzoekers denken dat veel inbraken bij Qilin-filialen beginnen met gelekte beheerdersgegevens afkomstig van darkweb-repositories. Kwaadwillenden gebruiken deze gegevens om in te loggen via een VPN-interface en vervolgens RDP-verbindingen tot stand te brengen met domeincontrollers en andere gecompromitteerde eindpunten. Van daaruit gaan ze over tot omgevingsmapping en diepgaandere verkenning.

Credential Harvesting en Tooling

Qilin-campagnes maken uitgebreid gebruik van tools en technieken voor het verzamelen van inloggegevens. Operators en partners gebruiken Mimikatz in combinatie met hulpprogramma's zoals WebBrowserPassView.exe, BypassCredGuard.exe en SharpDecryptPwd om geheimen te verzamelen uit browsers, systeemarchieven en andere applicaties. De verzamelde inloggegevens worden met behulp van Visual Basic-scripts naar externe SMTP-servers geëxfiltreerd. Het gebruik van Mimikatz in de praktijk omvatte de volgende acties:

  • Windows-gebeurtenislogboeken wissen en anderszins sporen wissen;
  • SeDebugPrivilege inschakelen;
  • opgeslagen Chrome-wachtwoorden uit SQLite-databases extraheren;
  • inloggegevens van eerdere aanmeldingen herstellen; en
  • configuratie en referenties voor RDP, SSH en Citrix verzamelen.

Leven van het land en misbruik van legitieme hulpmiddelen

De kwaadwillenden combineren voor de hand liggende malware met legitieme systeemhulpprogramma's en bekende beheerderstools om niet op te vallen. Zo zijn ze bijvoorbeeld bestanden gaan openen met mspaint.exe, notepad.exe en iexplore.exe om handmatig inhoud te controleren op gevoelige informatie. Ook gebruiken ze de authentieke Cyberduck-client om geselecteerde bestanden over te zetten naar externe servers, terwijl ze hun kwaadaardige bedoelingen verbergen.

Hoe gestolen inloggegevens worden misbruikt

Zodra de inloggegevens beschikbaar zijn, verhogen Qilin-actoren hun rechten en verspreiden ze zich lateraal. Verhoogde toegang is gebruikt om diverse producten voor remote monitoring en management (RMM) en remote access te installeren – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist en ScreenConnect – hoewel onderzoekers (Talos) niet altijd konden vaststellen of elk product primair werd gebruikt voor laterale verplaatsing of voor permanente besturing op afstand.

Ontwijking, persistentie en post-exploitatie

Om detectie te omzeilen, voeren de aanvallers PowerShell-sequenties uit die AMSI uitschakelen, TLS-certificaatvalidatie uitschakelen en de beperkte beheerdersmodus inschakelen. Ze gebruiken ook killswitch-achtige hulpprogramma's zoals dark-kill en HRSword om beveiligingsproducten te beëindigen. Voor persistentie en geheime command-and-control gebruiken ze Cobalt Strike en SystemBC.

Ransomware-implementatie en -opruiming

De laatste fase is de implementatie van Qilin-ransomware: bestanden worden versleuteld, losgeldberichten worden in versleutelde mappen geplaatst, Windows-gebeurtenislogboeken worden gewist en alle schaduwkopieën die door de Volume Shadow Copy Service (VSS) zijn gemaakt, worden verwijderd om herstelpogingen te dwarsbomen.

Geavanceerde hybride aanvalsketens (Linux binair op Windows + BYOVD)
Sommige geavanceerde Qilin-incidenten hebben verschillende geavanceerde technieken gecombineerd. Operators hebben een op Linux gecompileerde ransomware-binary geïmplementeerd, maar deze uitgevoerd op Windows-hosts. Ze hebben die payload gecombineerd met een 'bring your own vulnerable driver'-techniek (BYOVD) om de beveiliging uit te schakelen en legitieme IT-beheertools gebruikt om zich door de omgeving te bewegen en payloads uit te voeren. Bij deze aanvallen werd de eskle.sys-driver gezien als de kwetsbare drivercomponent die werd gebruikt om beveiligingsmaatregelen uit te schakelen, processen te beëindigen en detectie te ontwijken.

Back-uptargeting en op maat gemaakte diefstal van inloggegevens

Qilin richtte zich specifiek op de back-upinfrastructuur van Veeam. Aanvallers gebruikten gespecialiseerde tools voor het extraheren van inloggegevens tegen back-updatabases om inloggegevens te verzamelen en zo systematisch de platforms voor noodherstel van organisaties te compromitteren voordat ze ransomware installeerden, wat de inzet voor de getroffen slachtoffers aanzienlijk verhoogde.

Phishing en valse CAPTCHA-afleveringsmechanismen

Naast legitiem accountmisbruik begonnen bepaalde inbraken met spearphishing of met ClickFix-achtige nep-CAPTCHA-pagina's die gehost werden op Cloudflare R2. Deze pagina's lijken informatiestealer-payloads te leveren die inloggegevens verzamelen, die vervolgens worden hergebruikt om initiële netwerktoegang te verkrijgen.

Belangrijke waargenomen technieken en infrastructuur zijn onder meer:

  • Implementeren van een SOCKS-proxy-DLL om externe toegang en uitvoering van opdrachten mogelijk te maken.
  • ScreenConnect misbruiken om detectieopdrachten en netwerkscantools uit te voeren om laterale bewegingsdoelen te lokaliseren.
  • Veeam-back-upsystemen targeten om back-upreferenties uit meerdere databases te extraheren.
  • Het gebruik van de eskle.sys-driver bij BYOVD-aanvallen om beveiligingssoftware te neutraliseren en verdedigingsprocessen te beëindigen.
  • PuTTY SSH-clients implementeren voor laterale verplaatsing naar Linux-hosts.
  • Het uitvoeren van SOCKS-proxy-instanties in verschillende directory's om C2-verkeer via de COROXY-backdoor te verduisteren.
  • WinSCP gebruiken om het Linux-ransomwarebestand naar Windows-systemen te verplaatsen.
  • Gebruikmaken van SRManager.exe van Splashtop Remote om het Linux-ransomwarebestand rechtstreeks op Windows-machines uit te voeren.

Cross-platform impact en virtualisatietargeting

De Linux-binary biedt platformonafhankelijke functionaliteit: één enkele payload kan zowel Linux- als Windows-systemen in een omgeving beïnvloeden. Recentelijk zijn Qilin-samples bijgewerkt om Nutanix AHV-omgevingen te detecteren, wat aantoont dat de groep zijn targeting uitbreidt van traditionele VMware-implementaties naar moderne hypergeconvergeerde infrastructuren.

Samenvatting

Qilins operatie combineert het stelen van inloggegevens, misbruik van legitieme beheertools, BYOVD-technieken, gerichte aanvallen op back-upsystemen en platformonafhankelijke ransomware om de impact te maximaliseren en detectie te voorkomen. Verdedigers moeten prioriteit geven aan het opschonen van inloggegevens, multifactorauthenticatie op interfaces voor externe toegang, segmentatie van back-upsystemen, strenge monitoring op afwijkend gebruik van legitieme tools voor beheer op afstand en controles om driver-gebaseerde BYOVD-activiteit te detecteren. Deze maatregelen verkleinen de kans dat gestolen inloggegevens of een enkel punt van inbreuk leiden tot een grootschalige ransomware-implementatie.

Trending

Meest bekeken

Bezig met laden...