Rabattoffert för flera licenser
Hotdatabas Ransomware Qilin Ransomware-gruppen

Qilin Ransomware-gruppen

Med Mezo år Ransomware, Advanced Persistent Threat (APT)
Översätt till:

Qilin (även känt som Agenda, Gold Feather och Water Galura) har utvecklats till en av de mest produktiva Ransomware-as-a-Service (RaaS)-verksamheterna som är aktiva idag. Sedan början av 2025 har gruppen rapporterat mer än 40 offer per månad (januari var det enda undantaget), med en topp på cirka 100 läckageplatser i juni och 84 offer i vardera augusti och september 2025. Qilin, som varit aktivt sedan omkring juli 2022, gör sin takt och taktik till en högriskaktör för företag över hela världen.

Vem drabbades - Geografi och industrier

Analys av incidenttelemetri visar att Qilins offer är koncentrerade till Nordamerika och Västeuropa, med USA, Kanada, Storbritannien, Frankrike och Tyskland bland de mest drabbade länderna. Gruppen föredrar vissa vertikaler: tillverkning står för cirka 23 % av de observerade målen, professionella och vetenskapliga tjänster cirka 18 % och grossisthandel cirka 10 %.

Initial tillgång och tidigt fotfäste

Utredare tror att många intrång i Qilin-anslutna nätverk börjar med läckta administrativa inloggningsuppgifter som erhållits från dark web-databaser. Motståndare använder dessa inloggningsuppgifter för att logga in via ett VPN-gränssnitt och sedan utföra RDP-anslutningar till domänkontrollanter och andra komprometterade slutpunkter. Därifrån går de vidare till miljökartläggning och djupare rekognoscering.

Insamling och verktyg för referenser

Qilin-kampanjer använder i stor utsträckning verktyg och tekniker för insamling av autentiseringsuppgifter. Operatörer och partners kör Mimikatz tillsammans med verktyg som WebBrowserPassView.exe, BypassCredGuard.exe och SharpDecryptPwd för att hämta hemligheter från webbläsare, systemarkiv och andra applikationer. Insamlade autentiseringsuppgifter exfiltreras till externa SMTP-servrar med hjälp av Visual Basic-skript. Mimikatz-användning som observerats i praktiken inkluderade åtgärder för att:

  • rensa Windows händelseloggar och radera spår på annat sätt;
  • aktivera SeDebugPrivilege;
  • extrahera sparade Chrome-lösenord från SQLite-databaser;
  • återställa inloggningsuppgifter från tidigare inloggningar; och
  • skörda konfiguration och inloggningsuppgifter för RDP, SSH och Citrix.

Att leva av jorden och legitima verktyg missbrukas

Hotaktörerna blandar uppenbar skadlig kod med legitima systemverktyg och välkända administratörsverktyg för att smälta in i bilden. De har setts öppna filer med mspaint.exe, notepad.exe och iexplore.exe för att manuellt inspektera innehåll för känslig information, och använda den äkta Cyberduck-klienten för att överföra utvalda filer till fjärrservrar samtidigt som de döljer skadliga avsikter.

Hur stulna referenser utnyttjas

När inloggningsuppgifterna väl är i handen eskalerar Qilin-aktörer privilegier och sprider dem i sidled. Utökad åtkomst har använts för att installera en mängd olika produkter för fjärrövervakning och hantering (RMM) och fjärråtkomst – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist och ScreenConnect – även om forskare (Talos) inte alltid kunde avgöra om varje produkt främst användes för lateral förflyttning eller för ihållande fjärrkontroll.

Undvikande, ihärdighet och efterutnyttjande

För att undvika upptäckt kör angriparna PowerShell-sekvenser som inaktiverar AMSI, stänger av TLS-certifikatvalidering och aktiverar begränsat administratörsläge. De använder också kill-switch-liknande verktyg som dark-kill och HRSword för att avsluta säkerhetsprodukter. För persistens och hemlig kommando- och kontrollfunktion använder de Cobalt Strike och SystemBC.

Utplacering och sanering av ransomware

Det sista steget är distributionen av Qilin ransomware: filer krypteras, lösensumman läggs i krypterade mappar, Windows händelseloggar raderas och alla skuggkopior som skapats av Volume Shadow Copy Service (VSS) raderas för att försvåra återställningsarbetet.

Avancerade hybridattackkedjor (Linux binär på Windows + BYOVD)
Vissa sofistikerade Qilin-incidenter har kombinerat flera avancerade tekniker. Operatörer har distribuerat en Linux-kompilerad ransomware-binärfil men kört den på Windows-värdar, parat ihop nyttolasten med en "bring your own vulnerable driver"-teknik (BYOVD) för att inaktivera försvar och använt legitima IT-hanteringsverktyg för att röra sig genom miljön och köra nyttolaster. I dessa attacker observerades eskle.sys-drivrutinen som den sårbara drivrutinskomponent som används för att inaktivera säkerhetskontroller, stoppa processer och undvika upptäckt.

Säkerhetskopiering och skräddarsydda autentiseringsuppgifter

Qilin har specifikt riktat in sig på Veeams säkerhetskopieringsinfrastruktur. Angripare använde specialiserade verktyg för att extrahera autentiseringsuppgifter mot säkerhetskopieringsdatabaser för att samla in autentiseringsuppgifter, vilket systematiskt komprometterade organisationers katastrofåterställningsplattformar innan de släppte ransomware, vilket avsevärt ökade insatserna för de drabbade offren.

Nätfiske och falska CAPTCHA-leveransmekanismer

Utöver giltigt kontomissbruk började vissa intrång med spear-phishing eller med falska CAPTCHA-sidor i ClickFix-stil som lagras på Cloudflare R2. Dessa sidor verkar leverera informationsstölder som samlar in autentiseringsuppgifter, vilka sedan återanvänds för att få initial nätverksåtkomst.

Viktiga tekniker och infrastruktur som observerats inkluderar:

  • Distribuera en SOCKS proxy-DLL för att möjliggöra fjärråtkomst och kommandokörning.
  • Missbrukar ScreenConnect för att köra identifieringskommandon och nätverksskanningsverktyg för att lokalisera mål för laterala rörelser.
  • Inriktning på Veeams säkerhetskopieringssystem för att extrahera säkerhetskopieringsuppgifter från flera databaser.
  • Användning av eskle.sys-drivrutinen i BYOVD-attacker för att neutralisera säkerhetsprogramvara och avsluta defensiva processer.
  • Distribuerar PuTTY SSH-klienter för att flytta lateralt till Linux-värdar.
  • Kör SOCKS-proxyinstanser över olika kataloger för att obfuska C2-trafik via COROXY-bakdörren.
  • Använda WinSCP för att flytta Linux ransomware-binärfilen till Windows-system.
  • Använder Splashtop Remotes SRManager.exe för att köra Linux ransomware-binärfilen direkt på Windows-maskiner.

Plattformsoberoende påverkan och virtualiseringsinriktning

Linux-binärfilen erbjuder plattformsoberoende kapacitet: en enda nyttolast kan påverka både Linux- och Windows-system i en miljö. På senare tid uppdaterades Qilin-exempel för att upptäcka Nutanix AHV-miljöer, vilket visar att gruppen utökar sin målgrupp bortom traditionella VMware-distributioner till moderna hyperkonvergerade infrastrukturer.

Sammanfattning

Qilins verksamhet kombinerar stöld av autentiseringsuppgifter, missbruk av legitima administrationsverktyg, BYOVD-tekniker (Bring Your Own Device), riktade attacker mot säkerhetskopieringssystem och plattformsoberoende ransomware för att maximera effekten och undvika upptäckt. Försvarare bör prioritera autentiseringsuppgifter, multifaktorautentisering på fjärråtkomstgränssnitt, segmentering av säkerhetskopieringssystem, rigorös övervakning för avvikande användning av legitima fjärrhanteringsverktyg och kontroller för att upptäcka drivrutinsbaserad BYOVD-aktivitet. Dessa åtgärder minskar sannolikheten för att insamlade autentiseringsuppgifter eller en enda komprometteringspunkt leder till fullskalig distribution av ransomware.

Trendigt

Mest sedda

Läser in...