Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Ransomware Grupo Qilin Ransomware

Grupo Qilin Ransomware

Por Mezo em Ransomware, Ameaça Persistente Avançada (APT)
Traduzir Para:

O Qilin (também conhecido como Agenda, Gold Feather e Water Galura) evoluiu para uma das operações de Ransomware como Serviço (RaaS) mais prolíficas em atividade atualmente. Desde o início de 2025, o grupo registra mais de 40 vítimas por mês (janeiro foi a única exceção), atingindo um pico de cerca de 100 entradas em sites de vazamento em junho e registrando 84 vítimas em agosto e setembro de 2025. Em atividade desde julho de 2022, o ritmo e as táticas do Qilin o tornam um agente de alto risco para empresas em todo o mundo.

Quem foi atingido - Geografia e Indústrias

A análise da telemetria do incidente mostra que as vítimas do Qilin estão concentradas na América do Norte e na Europa Ocidental, com Estados Unidos, Canadá, Reino Unido, França e Alemanha entre os países mais afetados. O grupo privilegia determinados setores: a indústria representa cerca de 23% dos alvos observados, os serviços profissionais e científicos, cerca de 18%, e o comércio atacadista, cerca de 10%.

Acesso inicial e posição inicial

Investigadores acreditam que muitas invasões de afiliados da Qilin começam com o vazamento de credenciais administrativas obtidas de repositórios da dark web. Os invasores usam essas credenciais para fazer login por meio de uma interface VPN e, em seguida, realizar conexões RDP com controladores de domínio e outros endpoints comprometidos. A partir daí, eles partem para o mapeamento do ambiente e um reconhecimento mais aprofundado.

Colheita e ferramentas de credenciais

As campanhas da Qilin fazem uso extensivo de ferramentas e técnicas de coleta de credenciais. Operadores e afiliados executam o Mimikatz juntamente com utilitários como WebBrowserPassView.exe, BypassCredGuard.exe e SharpDecryptPwd para extrair segredos de navegadores, armazenamentos de sistema e outros aplicativos. As credenciais coletadas são exfiltradas para servidores SMTP externos usando scripts do Visual Basic. O uso do Mimikatz observado em campo incluiu ações para:

  • limpar logs de eventos do Windows e apagar rastros;
  • habilitar SeDebugPrivilege;
  • extrair senhas salvas do Chrome de bancos de dados SQLite;
  • recuperar credenciais de logins anteriores; e
  • configuração de coleta e credenciais para RDP, SSH e Citrix.

Viver da terra e usar ferramentas legítimas de forma abusiva

Os agentes da ameaça misturam malware óbvio com utilitários de sistema legítimos e ferramentas de administração conhecidas para se camuflarem. Eles foram vistos abrindo arquivos com mspaint.exe, notepad.exe e iexplore.exe para inspecionar manualmente o conteúdo em busca de informações confidenciais e usando o cliente Cyberduck genuíno para transferir arquivos escolhidos para servidores remotos, ocultando intenções maliciosas.

Como credenciais roubadas são aproveitadas

Uma vez que as credenciais estejam em mãos, os agentes Qilin escalam privilégios e se espalham lateralmente. O acesso elevado tem sido usado para instalar uma variedade de produtos de monitoramento e gerenciamento remoto (RMM) e acesso remoto — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist e ScreenConnect — embora os pesquisadores (Talos) nem sempre tenham conseguido determinar se cada produto era usado principalmente para movimentação lateral ou para controle remoto persistente.

Evasão, Persistência e Pós-exploração

Para evitar a detecção, os invasores executam sequências do PowerShell que desabilitam o AMSI, desativam a validação do certificado TLS e ativam o modo de administração restrita. Eles também implantam utilitários do tipo kill switch, como dark-kill e HRSword, para encerrar produtos de segurança. Para persistência e comando e controle secretos, eles usam Cobalt Strike e SystemBC.

Implantação e limpeza de ransomware

O estágio final é a implantação do ransomware Qilin: os arquivos são criptografados, as notas de resgate são colocadas em pastas criptografadas, os logs de eventos do Windows são apagados e todas as cópias de sombra criadas pelo Volume Shadow Copy Service (VSS) são excluídas para frustrar os esforços de recuperação.

Cadeias de ataque híbridas avançadas (binário Linux no Windows + BYOVD)
Alguns incidentes sofisticados do Qilin combinaram diversas técnicas avançadas. Operadores implantaram um binário de ransomware compilado para Linux, mas o executaram em hosts Windows, associaram essa carga útil a uma técnica de "traga seu próprio driver vulnerável" (BYOVD) para desabilitar defesas e usaram ferramentas legítimas de gerenciamento de TI para navegar pelo ambiente e executar cargas úteis. Nesses ataques, o driver eskle.sys foi observado como o componente vulnerável do driver usado para desabilitar controles de segurança, encerrar processos e evitar detecção.

Segmentação de backup e roubo de credenciais personalizado

A Qilin visou especificamente a infraestrutura de backup da Veeam. Os invasores usaram ferramentas especializadas de extração de credenciais em bancos de dados de backup para coletar credenciais, comprometendo sistematicamente as plataformas de recuperação de desastres das organizações antes de lançar o ransomware, aumentando significativamente os riscos para as vítimas afetadas.

Mecanismos de entrega de phishing e CAPTCHA falsos

Além do abuso legítimo de contas, certas intrusões começaram com spear-phishing ou com páginas falsas de CAPTCHA no estilo ClickFix, hospedadas no Cloudflare R2. Essas páginas parecem entregar cargas úteis para roubo de informações que coletam credenciais, que são então reutilizadas para obter acesso inicial à rede.

As principais técnicas e infraestrutura observadas incluem:

  • Implantando uma DLL proxy SOCKS para habilitar acesso remoto e execução de comandos.
  • Abusar do ScreenConnect para executar comandos de descoberta e ferramentas de varredura de rede para localizar alvos de movimento lateral.
  • Visando sistemas de backup da Veeam para extrair credenciais de backup de vários bancos de dados.
  • Uso do driver eskle.sys em ataques BYOVD para neutralizar software de segurança e encerrar processos defensivos.
  • Implantando clientes PuTTY SSH para movimentação lateral em hosts Linux.
  • Executar instâncias de proxy SOCKS em diferentes diretórios para ofuscar o tráfego C2 por meio do backdoor COROXY.
  • Usando o WinSCP para mover o binário do ransomware Linux para sistemas Windows.
  • Aproveitando o SRManager.exe do Splashtop Remote para executar o binário do ransomware Linux diretamente em máquinas Windows.

Impacto multiplataforma e segmentação de virtualização

O binário Linux oferece capacidade multiplataforma: um único payload pode afetar sistemas Linux e Windows em um ambiente. Mais recentemente, as amostras do Qilin foram atualizadas para detectar ambientes Nutanix AHV, demonstrando que o grupo está expandindo sua segmentação para além das implantações tradicionais do VMware, abrangendo infraestruturas hiperconvergentes modernas.

Resumo

A operação da Qilin combina roubo de credenciais, uso indevido de ferramentas administrativas legítimas, técnicas de BYOVD, ataques direcionados a sistemas de backup e ransomware multiplataforma para maximizar o impacto e evitar a detecção. Os defensores devem priorizar a higiene de credenciais, a autenticação multifator em interfaces de acesso remoto, a segmentação de sistemas de backup, o monitoramento rigoroso do uso anômalo de ferramentas legítimas de gerenciamento remoto e controles para detectar atividades de BYOVD baseadas em drivers. Essas medidas reduzem a probabilidade de que credenciais coletadas ou um único ponto de comprometimento levem à implantação de ransomware em larga escala.

Tendendo

Mais visto

Carregando...