Multilicenčná zľavová ponuka
Databáza hrozieb Ransomware Skupina Qilin Ransomware

Skupina Qilin Ransomware

Do roku Mezo v roku Ransomware, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Qilin (tiež sledovaný ako Agenda, Gold Feather a Water Galura) sa vyvinul v jednu z najproduktívnejších aktívnych operácií Ransomware-as-a-Service (RaaS). Od začiatku roka 2025 skupina hlási viac ako 40 obetí mesačne (január bol jedinou výnimkou), pričom vrchol dosiahla v júni s približne 100 únikmi a 84 obeťami v auguste a septembri 2025. Qilin, ktorý je aktívny približne od júla 2022, vďaka svojmu tempu a taktike predstavuje vysoko rizikového aktéra pre podniky na celom svete.

Kto bol zasiahnutý - geografia a odvetvia

Analýza telemetrie incidentov ukazuje, že obete Qilinu sú sústredené v Severnej Amerike a západnej Európe, pričom medzi najviac postihnuté krajiny patria Spojené štáty, Kanada, Spojené kráľovstvo, Francúzsko a Nemecko. Skupina uprednostňuje určité vertikály: výroba predstavuje približne 23 % pozorovaných cieľov, profesionálne a vedecké služby približne 18 % a veľkoobchod zhruba 10 %.

Počiatočný prístup a skoré uchytenie sa

Vyšetrovatelia sa domnievajú, že mnohé útoky partnerských spoločností spoločnosti Qilin začínajú únikom administrátorských prihlasovacích údajov získaných z repozitárov dark webu. Útočníci používajú tieto prihlasovacie údaje na prihlásenie cez rozhranie VPN a potom vykonávajú pripojenia RDP k radičom domény a iným napadnutým koncovým bodom. Odtiaľ prechádzajú na mapovanie prostredia a hlbší prieskum.

Zber a nástroje pre poverenia

Kampane Qilin vo veľkej miere využívajú nástroje a techniky na získavanie poverení. Prevádzkovatelia a pridružené spoločnosti používajú Mimikatz spolu s nástrojmi ako WebBrowserPassView.exe, BypassCredGuard.exe a SharpDecryptPwd na získavanie tajných údajov z prehliadačov, systémových úložísk a iných aplikácií. Získané poverenia sa pomocou skriptov Visual Basic odosielajú na externé SMTP servery. Medzi pozorované praktické využitie Mimikatzu patrili:

  • vymazať denníky udalostí systému Windows a inak vymazať stopy;
  • povoliť SeDebugPrivilege;
  • extrahovať uložené heslá prehliadača Chrome z databáz SQLite;
  • obnoviť prihlasovacie údaje z predchádzajúcich prihlásení; a
  • zhromaždiť konfiguráciu a prihlasovacie údaje pre RDP, SSH a Citrix.

Život z pôdy a zneužívanie legitímnych nástrojov

Hrozitelia kombinujú zjavný malvér s legitímnymi systémovými nástrojmi a známymi nástrojmi pre správu, aby sa začlenili do prostredia. Videli ich otvárať súbory pomocou nástrojov mspaint.exe, notepad.exe a iexplore.exe na manuálnu kontrolu obsahu a nájdenie citlivých informácií a používať skutočného klienta Cyberduck na prenos vybraných súborov na vzdialené servery, pričom skrývajú škodlivý úmysel.

Ako sa zneužívajú ukradnuté poverenia

Keď majú aktéri Qilinu k dispozícii poverenia, stupňujú privilégiá a šíria sa laterálne. Zvýšený prístup sa použil na inštaláciu rôznych produktov na vzdialené monitorovanie a správu (RMM) a vzdialený prístup – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist a ScreenConnect – hoci výskumníci (Talos) nedokázali vždy určiť, či sa každý produkt používal primárne na laterálny pohyb alebo na trvalé diaľkové ovládanie.

Úniky, vytrvalosť a následné vykorisťovanie

Aby sa útočníci vyhli odhaleniu, spúšťajú sekvencie PowerShellu, ktoré deaktivujú AMSI, vypínajú overovanie certifikátov TLS a povolia režim obmedzeného administrátora. Na ukončenie bezpečnostných produktov tiež nasadzujú nástroje typu kill-switch, ako napríklad dark-kill a HRSword. Pre perzistenciu a skryté ovládanie používajú Cobalt Strike a SystemBC.

Nasadenie a čistenie ransomvéru

Poslednou fázou je nasadenie ransomvéru Qilin: súbory sa šifrujú, výzvy na výkupné sa ukladajú do šifrovaných priečinkov, denníky udalostí systému Windows sa vymažú a všetky tieňové kópie vytvorené službou Volume Shadow Copy Service (VSS) sa odstránia, aby sa zmarili snahy o obnovu.

Pokročilé hybridné útočné reťazce (binárny súbor Linuxu na Windowse + BYOVD)
Niektoré sofistikované incidenty typu Qilin kombinovali niekoľko pokročilých techník. Operátori nasadili binárny súbor ransomvéru kompilovaný v systéme Linux, ale spustili ho na hostiteľoch so systémom Windows, spárovali tento dátový súbor s technikou „prineste si vlastný zraniteľný ovládač“ (BYOVD) na deaktiváciu obrany a použili legitímne nástroje správy IT na pohyb v prostredí a spúšťanie dátových súborov. Pri týchto útokoch bol ovládač eskle.sys pozorovaný ako zraniteľná súčasť ovládača používaná na deaktiváciu bezpečnostných kontrol, ukončenie procesov a vyhýbanie sa detekcii.

Záložné cielenie a krádež poverení na mieru

Spoločnosť Qilin sa cielene zamerala na zálohovaciu infraštruktúru Veeam. Útočníci použili špecializované nástroje na extrakciu poverení zo zálohovaných databáz na získavanie poverení, pričom systematicky ohrozovali platformy organizácií na zotavenie po havárii pred spustením ransomvéru, čím výrazne zvýšili riziko pre postihnuté obete.

Mechanizmy doručovania phishingových a falošných CAPTCHA

Okrem zneužitia oprávnených účtov sa niektoré útoky začali spear-phishingom alebo falošnými CAPTCHA stránkami v štýle ClickFix hostovanými na Cloudflare R2. Zdá sa, že tieto stránky poskytujú užitočné dáta kradnúce informácie, ktoré zhromažďujú prihlasovacie údaje, ktoré sa potom opätovne použijú na získanie počiatočného prístupu k sieti.

Medzi pozorované kľúčové techniky a infraštruktúru patria:

  • Nasadenie proxy knižnice DLL SOCKS na umožnenie vzdialeného prístupu a vykonávania príkazov.
  • Zneužívanie ScreenConnect na spúšťanie vyhľadávacích príkazov a nástrojov na skenovanie siete s cieľom lokalizovať ciele laterálneho pohybu.
  • Zacielenie na zálohovacie systémy Veeam na extrahovanie zálohovacích prihlasovacích údajov z viacerých databáz.
  • Použitie ovládača eskle.sys pri útokoch BYOVD na neutralizáciu bezpečnostného softvéru a ukončenie obranných procesov.
  • Nasadenie SSH klientov PuTTY na laterálny presun na hostiteľské systémy Linux.
  • Spúšťanie inštancií proxy SOCKS v rôznych adresároch na zakrytie prevádzky C2 cez zadné vrátka COROXY.
  • Použitie WinSCP na presun binárneho súboru ransomvéru pre Linux do systémov Windows.
  • Využitie súboru SRManager.exe zo Splashtop Remote na spustenie binárneho súboru ransomvéru pre Linux priamo na počítačoch so systémom Windows.

Medziplatformový dopad a zacielenie virtualizácie

Binárny súbor Linuxu poskytuje multiplatformové možnosti: jedno užitočné zaťaženie môže ovplyvniť systémy Linux aj Windows v danom prostredí. Nedávno boli vzorky Qilinu aktualizované na detekciu prostredí Nutanix AHV, čo dokazuje, že skupina rozširuje zacielenie nad rámec tradičných nasadení VMware do moderných hyperkonvergovaných infraštruktúr.

Zhrnutie

Spoločnosť Qilin kombinuje krádež poverení, zneužívanie legitímnych nástrojov pre správu, techniky BYOVD, cielené útoky na zálohovacie systémy a multiplatformový ransomvér s cieľom maximalizovať dopad a vyhnúť sa odhaleniu. Obrancovia by mali uprednostniť hygienu poverení, viacfaktorové overovanie na rozhraniach vzdialeného prístupu, segmentáciu zálohovacích systémov, prísne monitorovanie anomálneho používania legitímnych nástrojov na vzdialenú správu a kontroly na detekciu aktivity BYOVD založenej na ovládačoch. Tieto opatrenia znižujú pravdepodobnosť, že získané poverenia alebo jediný bod kompromitácie povedú k rozsiahlemu nasadeniu ransomvéru.

Trendy

UPOZORNENIE: Podvod s únikom systémových zdrojov

Phishing, Spam
Výskumníci v oblasti kybernetickej bezpečnosti identifikovali podvodnú schému známu ako „UPOZORNENIE: ÚNIK SYSTÉMOVÝCH ZDROJOV“, ktorá využíva falošné systémové upozornenia na zavádzanie používateľov. Hoci stránka, ktorá sa za touto schémou skrýva, propaguje legitímnu aplikáciu, jej metóda doručovania založená na zastrašovaní je klamlivá a navrhnutá tak, aby manipulovala používateľov a...

Najviac videné

Načítava...