Grupa Qilin Ransomware

Qilin (znany również jako Agenda, Gold Feather i Water Galura) stał się jedną z najpopularniejszych operacji ransomware-as-a-Service (RaaS) aktywnych obecnie. Od początku 2025 roku grupa publikowała ponad 40 ofiar miesięcznie (styczeń był jedynym wyjątkiem), osiągając szczyt około 100 wpisów na stronach wycieków w czerwcu i odnotowując 84 ofiary w sierpniu i wrześniu 2025 roku. Aktywny od około lipca 2022 roku, Qilin ze względu na tempo i taktykę działania jest aktorem wysokiego ryzyka dla przedsiębiorstw na całym świecie.

Kto został trafiony - Geografia i branże

Analiza danych telemetrycznych dotyczących incydentów pokazuje, że ofiary Qilin koncentrują się w Ameryce Północnej i Europie Zachodniej, a wśród krajów najbardziej dotkniętych znajdują się Stany Zjednoczone, Kanada, Wielka Brytania, Francja i Niemcy. Grupa faworyzuje określone sektory: produkcja stanowi około 23% obserwowanych celów, usługi profesjonalne i naukowe około 18%, a handel hurtowy około 10%.

Początkowy dostęp i wczesne zakorzenienie

Śledczy uważają, że wiele włamań do sieci afiliacyjnej Qilin zaczyna się od wycieku danych uwierzytelniających administratorów uzyskanych z repozytoriów darknetu. Przeciwnicy wykorzystują te dane uwierzytelniające do logowania się przez interfejs VPN, a następnie nawiązują połączenia RDP z kontrolerami domeny i innymi zainfekowanymi punktami końcowymi. Następnie przechodzą do mapowania środowiska i głębszego rozpoznania.

Zbieranie i wykorzystywanie poświadczeń

Kampanie Qilin w szerokim zakresie wykorzystują narzędzia i techniki zbierania danych uwierzytelniających. Operatorzy i partnerzy używają Mimikatz wraz z narzędziami takimi jak WebBrowserPassView.exe, BypassCredGuard.exe i SharpDecryptPwd do pobierania poufnych danych z przeglądarek, magazynów systemowych i innych aplikacji. Zebrane dane uwierzytelniające są przesyłane na zewnętrzne serwery SMTP za pomocą skryptów Visual Basic. Obserwowane w praktyce działania Mimikatz obejmowały:

• wyczyść dzienniki zdarzeń systemu Windows i usuń ślady;
• włącz SeDebugPrivilege;
• wyodrębnij zapisane hasła Chrome z baz danych SQLite;
• odzyskać dane uwierzytelniające z poprzednich logowań; i
• zbierz konfigurację i dane uwierzytelniające dla RDP, SSH i Citrix.

Życie z ziemi i nadużywanie legalnych narzędzi

Aktorzy zagrożeń łączą oczywiste złośliwe oprogramowanie z legalnymi narzędziami systemowymi i dobrze znanymi narzędziami administracyjnymi, aby wtopić się w tłum. Widziano, jak otwierali pliki za pomocą programów mspaint.exe, notepad.exe i iexplore.exe, aby ręcznie sprawdzać zawartość pod kątem poufnych informacji, a także używali sprawdzonego klienta Cyberduck do przesyłania wybranych plików na zdalne serwery, ukrywając przy tym złośliwe intencje.

Jak wykorzystywane są skradzione dane uwierzytelniające

Po uzyskaniu uprawnień, osoby atakujące w Qilin zwiększają uprawnienia i rozprzestrzeniają się horyzontalnie. Uprawnienia dostępu rozszerzonego wykorzystano do zainstalowania różnych produktów do zdalnego monitorowania i zarządzania (RMM) oraz zdalnego dostępu – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist i ScreenConnect – chociaż badacze (Talos) nie zawsze byli w stanie określić, czy każdy produkt był używany głównie do przemieszczania się horyzontalnie, czy do stałego zdalnego sterowania.

Unikanie, wytrwałość i posteksploatacja

Aby uniknąć wykrycia, atakujący uruchamiają sekwencje poleceń programu PowerShell, które wyłączają AMSI, wyłączają walidację certyfikatów TLS i włączają tryb administratora z ograniczeniami. Wdrażają również narzędzia typu kill-switch, takie jak dark-kill i HRSword, aby wyłączać produkty zabezpieczające. Do zapewnienia trwałości i ukrytego sterowania używają Cobalt Strike i SystemBC.

Wdrażanie i usuwanie oprogramowania ransomware

Ostatnim etapem jest wdrożenie ransomware Qilin: pliki zostają zaszyfrowane, w zaszyfrowanych folderach umieszczane są notatki z żądaniem okupu, dzienniki zdarzeń systemu Windows zostają wyczyszczone, a wszystkie kopie w tle utworzone przez usługę kopiowania woluminów w tle (VSS) zostają usunięte, aby utrudnić próby odzyskania danych.

Zaawansowane łańcuchy ataków hybrydowych (plik binarny Linuksa w systemie Windows + BYOVD)
Niektóre wyrafinowane incydenty Qilin łączyły kilka zaawansowanych technik. Operatorzy wdrożyli skompilowany w systemie Linux plik binarny ransomware, ale uruchomili go na hostach z systemem Windows, połączyli ten ładunek z techniką „przynieś własny podatny na ataki sterownik” (BYOVD) w celu wyłączenia zabezpieczeń i wykorzystali legalne narzędzia do zarządzania IT do poruszania się po środowisku i uruchamiania ładunków. W tych atakach sterownik eskle.sys został uznany za podatny na ataki komponent sterownika, używany do wyłączania zabezpieczeń, kończenia procesów i unikania wykrycia.

Tworzenie kopii zapasowych i dostosowywanie kradzieży danych uwierzytelniających

Qilin celowo zaatakował infrastrukturę kopii zapasowych Veeam. Atakujący wykorzystali specjalistyczne narzędzia do ekstrakcji danych uwierzytelniających z baz danych kopii zapasowych, aby je pozyskać, systematycznie naruszając bezpieczeństwo platform odzyskiwania danych po awarii organizacji, a następnie atakując ransomware, co znacznie zwiększało ryzyko dla ofiar.

Phishing i fałszywe mechanizmy dostarczania CAPTCHA

Poza uzasadnionym nadużyciem konta, niektóre włamania zaczynały się od spear phishingu lub fałszywych stron CAPTCHA w stylu ClickFix hostowanych na Cloudflare R2. Strony te najwyraźniej dostarczają ładunki wykradające informacje, które zbierają dane uwierzytelniające, a następnie są ponownie wykorzystywane do uzyskania dostępu do sieci.

Do obserwowanych kluczowych technik i infrastruktury należą:

• Wdrażanie biblioteki DLL serwera proxy SOCKS w celu umożliwienia zdalnego dostępu i wykonywania poleceń.
• Nadużywanie ScreenConnect do uruchamiania poleceń wykrywania i narzędzi skanowania sieci w celu lokalizowania celów ruchu bocznego.
• Wykorzystanie systemów kopii zapasowych Veeam do wyodrębniania danych uwierzytelniających kopie zapasowe z wielu baz danych.
• Wykorzystanie sterownika eskle.sys w atakach BYOVD w celu neutralizacji oprogramowania zabezpieczającego i zakończenia procesów obronnych.
• Wdrażanie klientów SSH PuTTY w celu ich bocznej migracji na hosty Linux.
• Uruchamianie instancji proxy SOCKS w różnych katalogach w celu zaciemnienia ruchu C2 przez tylne wejście COROXY.
• Użycie WinSCP do przeniesienia pliku binarnego ransomware Linux na systemy Windows.
• Wykorzystanie SRManager.exe programu Splashtop Remote do uruchomienia pliku binarnego ransomware dla systemu Linux bezpośrednio na komputerach z systemem Windows.

Wpływ międzyplatformowy i ukierunkowanie na wirtualizację

Plik binarny Linuxa zapewnia funkcjonalność międzyplatformową: pojedynczy ładunek może oddziaływać zarówno na systemy Linux, jak i Windows w danym środowisku. Niedawno próbki Qilin zostały zaktualizowane w celu wykrywania środowisk Nutanix AHV, co pokazuje, że grupa rozszerza zakres działania poza tradycyjne wdrożenia VMware, obejmując nowoczesne infrastruktury hiperkonwergentne.

Streszczenie

Działania Qilin łączą kradzież danych uwierzytelniających, niewłaściwe wykorzystanie legalnych narzędzi administracyjnych, techniki BYOVD, ukierunkowane ataki na systemy kopii zapasowych oraz wieloplatformowe ataki ransomware, aby zmaksymalizować wpływ i uniknąć wykrycia. Osoby odpowiedzialne za ochronę powinny priorytetowo traktować higienę danych uwierzytelniających, uwierzytelnianie wieloskładnikowe na interfejsach dostępu zdalnego, segmentację systemów kopii zapasowych, rygorystyczny monitoring pod kątem nietypowego użycia legalnych narzędzi do zdalnego zarządzania oraz mechanizmy kontroli wykrywające aktywność BYOVD opartą na sterownikach. Środki te zmniejszają prawdopodobieństwo, że przechwycone dane uwierzytelniające lub pojedynczy punkt naruszenia doprowadzi do wdrożenia ransomware na pełną skalę.