Qilin Ransomware Group

Qilin (i ndjekur edhe si Agenda, Gold Feather dhe Water Galura) është zhvilluar në një nga operacionet më të frytshme të Ransomware-as-a-Service (RaaS) aktive sot. Që nga fillimi i vitit 2025, grupi ka postuar më shumë se 40 viktima në muaj (janar ishte përjashtimi i vetëm), duke arritur kulmin me afërsisht 100 hyrje në faqet e rrjedhjeve të informacionit në qershor dhe duke regjistruar 84 viktima në secilin muaj gusht dhe shtator 2025. Aktiv që nga rreth korriku 2022, ritmi dhe taktikat e Qilin e bëjnë atë një aktor me rrezik të lartë për ndërmarrjet në të gjithë botën.

Kush u godit - Gjeografia dhe Industritë

Analiza e telemetrisë së incidenteve tregon se viktimat e Qilin janë të përqendruara në Amerikën e Veriut dhe Evropën Perëndimore, me Shtetet e Bashkuara, Kanadanë, Mbretërinë e Bashkuar, Francën dhe Gjermaninë midis vendeve më të prekura. Grupi favorizon disa vertikale: prodhimi përbën rreth 23% të objektivave të vëzhguara, shërbimet profesionale dhe shkencore rreth 18% dhe tregtia me shumicë afërsisht 10%.

Qasja Fillestare dhe Vendosja e Hershme në Këmbë

Hetuesit besojnë se shumë ndërhyrje të bashkëpunëtorëve të Qilin fillojnë me kredenciale administrative të rrjedhura të marra nga depot e internetit të errët. Kundërshtarët i përdorin këto kredenciale për t'u identifikuar nëpërmjet një ndërfaqeje VPN dhe më pas kryejnë lidhje RDP me kontrolluesit e domenit dhe pikat e tjera fundore të kompromentuara. Prej andej, ata kalojnë në hartëzimin e mjedisit dhe zbulimin më të thellë.

Korrja dhe përpunimi i kredencialeve

Fushatat Qilin përdorin gjerësisht mjetet dhe teknikat e mbledhjes së kredencialeve. Operatorët dhe bashkëpunëtorët përdorin Mimikatz së bashku me programe të tilla si WebBrowserPassView.exe, BypassCredGuard.exe dhe SharpDecryptPwd për të nxjerrë sekrete nga shfletuesit, dyqanet e sistemit dhe aplikacione të tjera. Kredencialet e mbledhura nxirren në servera të jashtëm SMTP duke përdorur skripte të Visual Basic. Përdorimi i Mimikatz i vërejtur në praktikë përfshinte veprime për të:

• pastroni regjistrat e ngjarjeve të Windows dhe fshini gjurmët në ndonjë mënyrë tjetër;
• aktivizo SeDebugPrivilege;
• nxjerr fjalëkalimet e ruajtura të Chrome nga bazat e të dhënave SQLite;
• rikuperoni kredencialet nga hyrjet e mëparshme; dhe
• konfigurimi i korrjes dhe kredencialet për RDP, SSH dhe Citrix.

Jetesa nga toka dhe keqpërdorimi i mjeteve të ligjshme

Aktorët kërcënues përziejnë programe të dukshme keqdashëse me programe legjitime të sistemit dhe mjete të njohura administrimi për t'u përzier. Ata janë parë duke hapur skedarë me mspaint.exe, notepad.exe dhe iexplore.exe për të inspektuar manualisht përmbajtjen për informacione të ndjeshme dhe duke përdorur klientin e mirëfilltë Cyberduck për të transferuar skedarë të zgjedhur në servera të largët, duke fshehur qëllimin keqdashës.

Si shfrytëzohen kredencialet e vjedhura

Pasi kredencialet janë në dispozicion, aktorët Qilin përshkallëzojnë privilegjet dhe përhapen anash. Qasja e lartë është përdorur për të instaluar një sërë produktesh monitorimi dhe menaxhimi në distancë (RMM) dhe qasjeje në distancë — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist dhe ScreenConnect — megjithëse studiuesit (Talos) nuk mund të përcaktonin gjithmonë nëse secili produkt përdorej kryesisht për lëvizje anësore apo për kontroll të vazhdueshëm në distancë.

Shmangia, Këmbëngulja dhe Shfrytëzimi Pas

Për të shmangur zbulimin, sulmuesit ekzekutojnë sekuenca PowerShell që çaktivizojnë AMSI-n, çaktivizojnë validimin e certifikatës TLS dhe aktivizojnë modalitetin e Administratorit të Kufizuar. Ata gjithashtu vendosin programe të tipit kill-switch, të tilla si dark-kill dhe HRSword, për të mbyllur produktet e sigurisë. Për vazhdimësi dhe komandë dhe kontroll të fshehtë, ata përdorin Cobalt Strike dhe SystemBC.

Vendosja dhe Pastrimi i Ransomware-it

Faza e fundit është vendosja e ransomware-it Qilin: skedarët enkriptohen, shënimet e ransomware-it hidhen në dosje të enkriptuara, regjistrat e ngjarjeve të Windows fshihen dhe të gjitha kopjet hije të krijuara nga Volume Shadow Copy Service (VSS) fshihen për të penguar përpjekjet e rikuperimit.

Zinxhirë sulmesh hibride të avancuara (binar Linux në Windows + BYOVD)
Disa incidente të sofistikuara të Qilin kanë kombinuar disa teknika të avancuara. Operatorët kanë vendosur një skedar binar ransomware të kompiluar në Linux, por e kanë ekzekutuar atë në hostet e Windows, e kanë çiftëzuar atë ngarkesë me një teknikë 'sillni drajverin tuaj të cenueshëm' (BYOVD) për të çaktivizuar mbrojtjet dhe kanë përdorur mjete legjitime të menaxhimit të IT-së për të lëvizur nëpër mjedis dhe për të ekzekutuar ngarkesa. Në këto sulme, drajveri eskle.sys u vu re si komponenti i drajverit të cenueshëm i përdorur për të çaktivizuar kontrollet e sigurisë, për të mbyllur proceset dhe për të shmangur zbulimin.

Targetimi rezervë dhe vjedhja e kredencialeve të personalizuara

Qilin ka synuar posaçërisht infrastrukturën e rezervimit të Veeam. Sulmuesit përdorën mjete të specializuara për nxjerrjen e kredencialeve kundër bazave të të dhënave të rezervimit për të mbledhur kredencialet, duke kompromentuar sistematikisht platformat e rimëkëmbjes nga fatkeqësitë e organizatave përpara se të hidhnin ransomware, duke rritur ndjeshëm rreziqet për viktimat e prekura.

Mekanizmat e shpërndarjes së CAPTCHA-ve të rreme dhe të phishing-ut

Përtej abuzimit të vlefshëm të llogarisë, disa ndërhyrje filluan me spear-phishing ose me faqe CAPTCHA të rreme në stilin ClickFix të hostuara në Cloudflare R2. Këto faqe duket se ofrojnë ngarkesa vjedhëse informacioni që mbledhin kredencialet, të cilat më pas ripërdoren për të fituar akses fillestar në rrjet.

Teknikat dhe infrastruktura kryesore e vëzhguar përfshijnë:

• Duke vendosur një DLL proxy SOCKS për të mundësuar aksesin në distancë dhe ekzekutimin e komandave.
• Abuzimi i ScreenConnect për të ekzekutuar komanda zbulimi dhe mjete skanimi të rrjetit për të gjetur objektiva lëvizjeje anësore.
• Synimi i sistemeve të rezervimit Veeam për të nxjerrë kredencialet e rezervimit nga baza të dhënash të shumta.
• Përdorimi i drajverit eskle.sys në sulmet BYOVD për të neutralizuar softuerin e sigurisë dhe për të ndërprerë proceset mbrojtëse.
• Duke vendosur klientët SSH të PuTTY për t'u zhvendosur anash në hostet Linux.
• Ekzekutimi i instancave proxy SOCKS nëpër drejtori të ndryshme për të bllokuar trafikun C2 nëpërmjet derës së pasme COROXY.
• Duke përdorur WinSCP për të zhvendosur skedarin binar të ransomware-it Linux në sistemet Windows.
• Duke përdorur SRManager.exe të Splashtop Remote për të ekzekutuar skedarin binar të ransomware-it Linux direkt në makinat Windows.

Ndikimi ndërplatformor dhe synimi i virtualizimit

Skedari binar Linux ofron aftësi ndërplatformore: një ngarkesë e vetme mund të ndikojë si në sistemet Linux ashtu edhe në ato Windows në një mjedis. Kohët e fundit, mostrat Qilin u përditësuan për të zbuluar mjediset Nutanix AHV, duke demonstruar se grupi po zgjeron synimin përtej vendosjeve tradicionale të VMware në infrastrukturat moderne të hiperkonvergjuara.

Përmbledhje

Operacioni i Qilin kombinon vjedhjen e kredencialeve, keqpërdorimin e mjeteve legjitime të administratorit, teknikat BYOVD, sulmet e synuara në sistemet e rezervimit dhe ransomware-in ndërplatformë për të maksimizuar ndikimin dhe për të shmangur zbulimin. Mbrojtësit duhet t'i japin përparësi higjienës së kredencialeve, autentifikimit shumëfaktorësh në ndërfaqet e aksesit në distancë, segmentimit të sistemeve të rezervimit, monitorimit rigoroz për përdorimin anormal të mjeteve legjitime të menaxhimit në distancë dhe kontrolleve për të zbuluar aktivitetin BYOVD të bazuar në shoferë. Këto masa zvogëlojnë gjasat që kredencialet e mbledhura ose një pikë e vetme komprometimi të çojnë në vendosjen e ransomware-it në shkallë të plotë.