క్విలిన్ రాన్సమ్‌వేర్ గ్రూప్

క్విలిన్ (అజెండా, గోల్డ్ ఫెదర్ మరియు వాటర్ గలురాగా కూడా ట్రాక్ చేయబడింది) నేడు అత్యంత ఫలవంతమైన Ransomware-as-a-Service (RaaS) కార్యకలాపాలలో ఒకటిగా పరిణామం చెందింది. 2025 ప్రారంభం నుండి ఈ బృందం నెలకు 40 కంటే ఎక్కువ మంది బాధితులను పోస్ట్ చేస్తోంది (జనవరి మాత్రమే మినహాయింపు), జూన్‌లో దాదాపు 100 లీక్-సైట్ ఎంట్రీలకు చేరుకుంది మరియు ఆగస్టు మరియు సెప్టెంబర్ 2025లో ప్రతిదానిలో 84 మంది బాధితులను నమోదు చేసింది. జూలై 2022 నుండి చురుకుగా ఉన్న క్విలిన్ వేగం మరియు వ్యూహాలు దీనిని ప్రపంచవ్యాప్తంగా ఉన్న సంస్థలకు అధిక-రిస్క్ యాక్టర్‌గా చేస్తాయి.

ఎవరు దెబ్బతిన్నారు - భౌగోళిక శాస్త్రం మరియు పరిశ్రమలు

సంఘటన టెలిమెట్రీ విశ్లేషణ ప్రకారం, క్విలిన్ బాధితులు ఉత్తర అమెరికా మరియు పశ్చిమ ఐరోపాలో కేంద్రీకృతమై ఉన్నారని, యునైటెడ్ స్టేట్స్, కెనడా, యునైటెడ్ కింగ్‌డమ్, ఫ్రాన్స్ మరియు జర్మనీలు ఎక్కువగా ప్రభావితమైన దేశాలలో ఉన్నాయని చూపిస్తుంది. ఈ సమూహం కొన్ని నిలువు వరుసలను ఇష్టపడుతుంది: గమనించిన లక్ష్యాలలో తయారీ వాటా 23%, వృత్తిపరమైన మరియు శాస్త్రీయ సేవలు 18% మరియు టోకు వ్యాపారం దాదాపు 10%.

ప్రారంభ యాక్సెస్ మరియు ప్రారంభ స్థానం

డార్క్-వెబ్ రిపోజిటరీల నుండి పొందిన లీక్ అయిన అడ్మినిస్ట్రేటివ్ ఆధారాలతో అనేక క్విలిన్ అనుబంధ చొరబాట్లు ప్రారంభమవుతాయని పరిశోధకులు భావిస్తున్నారు. ప్రత్యర్థులు VPN ఇంటర్‌ఫేస్ ద్వారా లాగిన్ అవ్వడానికి ఆ ఆధారాలను ఉపయోగిస్తారు మరియు తరువాత డొమైన్ కంట్రోలర్‌లు మరియు ఇతర రాజీపడిన ఎండ్ పాయింట్‌లకు RDP కనెక్షన్‌లను నిర్వహిస్తారు. అక్కడి నుండి, వారు పర్యావరణ మ్యాపింగ్ మరియు లోతైన నిఘాలోకి వెళతారు.

ఆధారాల సేకరణ మరియు సాధనం

క్విలిన్ ప్రచారాలు క్రెడెన్షియల్-హార్వెస్టింగ్ సాధనాలు మరియు పద్ధతులను విస్తృతంగా ఉపయోగిస్తాయి. ఆపరేటర్లు మరియు అనుబంధ సంస్థలు బ్రౌజర్‌లు, సిస్టమ్ స్టోర్‌లు మరియు ఇతర అప్లికేషన్‌ల నుండి రహస్యాలను సేకరించడానికి WebBrowserPassView.exe, BypassCredGuard.exe మరియు SharpDecryptPwd వంటి యుటిలిటీలతో పాటు మిమికాట్జ్‌ను అమలు చేస్తాయి. హార్వెస్ట్ చేయబడిన ఆధారాలు విజువల్ బేసిక్ స్క్రిప్ట్‌లను ఉపయోగించి బాహ్య SMTP సర్వర్‌లకు ఎక్స్‌ఫిల్ట్రేట్ చేయబడతాయి. వైల్డ్‌లో గమనించిన మిమికాట్జ్ వినియోగంలో ఈ క్రింది చర్యలు ఉంటాయి:

• విండోస్ ఈవెంట్ లాగ్‌లను క్లియర్ చేయండి మరియు లేకపోతే జాడలను తొలగించండి;
• SeDebugPrivilege ని ప్రారంభించండి;
• SQLite డేటాబేస్‌ల నుండి సేవ్ చేసిన Chrome పాస్‌వర్డ్‌లను సంగ్రహించండి;
• మునుపటి లాగాన్‌ల నుండి ఆధారాలను తిరిగి పొందండి; మరియు
• RDP, SSH మరియు Citrix కోసం హార్వెస్ట్ కాన్ఫిగరేషన్ మరియు ఆధారాలు.

భూమి వెలుపల నివసించడం మరియు చట్టబద్ధమైన ఉపకరణాలు దుర్వినియోగం

బెదిరింపు నటులు స్పష్టమైన మాల్వేర్‌ను చట్టబద్ధమైన సిస్టమ్ యుటిలిటీలు మరియు ప్రసిద్ధ అడ్మిన్ టూల్స్‌తో కలుపుతారు. సున్నితమైన సమాచారం కోసం కంటెంట్‌ను మాన్యువల్‌గా తనిఖీ చేయడానికి వారు mspaint.exe, notepad.exe మరియు iexplore.exe లతో ఫైల్‌లను తెరవడం మరియు హానికరమైన ఉద్దేశ్యాన్ని దాచిపెట్టి ఎంచుకున్న ఫైల్‌లను రిమోట్ సర్వర్‌లకు బదిలీ చేయడానికి నిజాయితీగల సైబర్‌డక్ క్లయింట్‌ను ఉపయోగించడం కనిపించింది.

దొంగిలించబడిన ఆధారాలు ఎలా ఉపయోగించబడతాయి

ఆధారాలు చేతికి వచ్చిన తర్వాత, క్విలిన్ నటులు ప్రత్యేక హక్కులను పెంచుతారు మరియు పార్శ్వంగా వ్యాప్తి చెందుతారు. ఎలివేటెడ్ యాక్సెస్ వివిధ రకాల రిమోట్ మానిటరింగ్ మరియు మేనేజ్‌మెంట్ (RMM) మరియు రిమోట్-యాక్సెస్ ఉత్పత్తులను ఇన్‌స్టాల్ చేయడానికి ఉపయోగించబడింది - AnyDesk, Chrome రిమోట్ డెస్క్‌టాప్, డిస్టెంట్ డెస్క్‌టాప్, GoToDesk, QuickAssist మరియు ScreenConnect - అయినప్పటికీ పరిశోధకులు (Talos) ప్రతి ఉత్పత్తి ప్రధానంగా పార్శ్వ కదలిక కోసం ఉపయోగించబడిందా లేదా నిరంతర రిమోట్ కంట్రోల్ కోసం ఉపయోగించబడిందా అని ఎల్లప్పుడూ నిర్ణయించలేకపోయారు.

తప్పించుకోవడం, పట్టుదల, మరియు దోపిడీ తర్వాత

గుర్తింపును తప్పించుకోవడానికి దాడి చేసేవారు AMSIని నిలిపివేసే పవర్‌షెల్ సీక్వెన్స్‌లను అమలు చేస్తారు, TLS సర్టిఫికెట్ వాలిడేషన్‌ను ఆఫ్ చేస్తారు మరియు రిస్ట్రిక్టెడ్ అడ్మిన్ మోడ్‌ను ప్రారంభిస్తారు. భద్రతా ఉత్పత్తులను ముగించడానికి వారు డార్క్-కిల్ మరియు HRSword వంటి కిల్-స్విచ్ స్టైల్ యుటిలిటీలను కూడా అమలు చేస్తారు. నిలకడ మరియు రహస్య కమాండ్-అండ్-కంట్రోల్ కోసం వారు కోబాల్ట్ స్ట్రైక్ మరియు సిస్టమ్‌బిసిని ఉపయోగిస్తారు.

రాన్సమ్‌వేర్ విస్తరణ మరియు శుభ్రపరచడం

చివరి దశ క్విలిన్ రాన్సమ్‌వేర్‌ను అమలు చేయడం: ఫైల్‌లు ఎన్‌క్రిప్ట్ చేయబడతాయి, రాన్సమ్ నోట్‌లు ఎన్‌క్రిప్ట్ చేయబడిన ఫోల్డర్‌లలో వదలబడతాయి, విండోస్ ఈవెంట్ లాగ్‌లు తుడిచివేయబడతాయి మరియు వాల్యూమ్ షాడో కాపీ సర్వీస్ (VSS) ద్వారా సృష్టించబడిన అన్ని షాడో కాపీలు రికవరీ ప్రయత్నాలను నిరాశపరచడానికి తొలగించబడతాయి.

అధునాతన హైబ్రిడ్ దాడి గొలుసులు (Windows + BYOVDలో Linux బైనరీ)
కొన్ని అధునాతన క్విలిన్ సంఘటనలు అనేక అధునాతన పద్ధతులను కలిపాయి. ఆపరేటర్లు Linux-కంపైల్డ్ ransomware బైనరీని అమలు చేశారు కానీ దానిని Windows హోస్ట్‌లలో అమలు చేశారు, ఆ పేలోడ్‌ను 'బ్రింగ్ యువర్ ఓన్ వల్యురబుల్ డ్రైవర్' (BYOVD) టెక్నిక్‌తో జత చేసి రక్షణలను నిలిపివేయడానికి మరియు పర్యావరణం గుండా కదలడానికి మరియు పేలోడ్‌లను అమలు చేయడానికి చట్టబద్ధమైన IT నిర్వహణ సాధనాలను ఉపయోగించారు. ఈ దాడులలో eskle.sys డ్రైవర్ భద్రతా నియంత్రణలను నిలిపివేయడానికి, ప్రక్రియలను చంపడానికి మరియు గుర్తింపును తప్పించుకోవడానికి ఉపయోగించే దుర్బల డ్రైవర్ భాగం వలె గమనించబడింది.

బ్యాకప్ టార్గెటింగ్ మరియు టైలర్డ్ క్రెడెన్షియల్ థెఫ్ట్

క్విలిన్ ప్రత్యేకంగా వీమ్ బ్యాకప్ మౌలిక సదుపాయాలను లక్ష్యంగా చేసుకుంది. దాడి చేసేవారు ఆధారాలను సేకరించడానికి బ్యాకప్ డేటాబేస్‌లకు వ్యతిరేకంగా ప్రత్యేకమైన ఆధారాల వెలికితీత సాధనాలను ఉపయోగించారు, రాన్సమ్‌వేర్‌ను వదిలివేసే ముందు సంస్థల విపత్తు-రికవరీ ప్లాట్‌ఫామ్‌లను క్రమపద్ధతిలో రాజీ చేశారు, ప్రభావిత బాధితుల వాటాలను గణనీయంగా పెంచారు.

ఫిషింగ్ మరియు నకిలీ CAPTCHA డెలివరీ విధానాలు

చెల్లుబాటు అయ్యే ఖాతా దుర్వినియోగానికి మించి, కొన్ని చొరబాట్లు స్పియర్-ఫిషింగ్ లేదా Cloudflare R2లో హోస్ట్ చేయబడిన ClickFix-శైలి నకిలీ CAPTCHA పేజీలతో ప్రారంభమయ్యాయి. ఆ పేజీలు ఆధారాలను సేకరించే సమాచార-స్టీలర్ పేలోడ్‌లను పంపిణీ చేస్తున్నట్లు కనిపిస్తాయి, ఆపై వాటిని ప్రారంభ నెట్‌వర్క్ యాక్సెస్ పొందడానికి తిరిగి ఉపయోగిస్తారు.

గమనించిన కీలక పద్ధతులు మరియు మౌలిక సదుపాయాలు:

• రిమోట్ యాక్సెస్ మరియు కమాండ్ అమలును ప్రారంభించడానికి SOCKS ప్రాక్సీ DLL ని అమలు చేయడం.
• లాటరల్ మూవ్‌మెంట్ టార్గెట్‌లను గుర్తించడానికి డిస్కవరీ కమాండ్‌లు మరియు నెట్‌వర్క్ స్కానింగ్ టూల్స్‌ను అమలు చేయడానికి స్క్రీన్‌కనెక్ట్‌ను దుర్వినియోగం చేయడం.
• బహుళ డేటాబేస్‌ల నుండి బ్యాకప్ ఆధారాలను సంగ్రహించడానికి వీయం బ్యాకప్ సిస్టమ్‌లను లక్ష్యంగా చేసుకోవడం.
• భద్రతా సాఫ్ట్‌వేర్‌ను తటస్థీకరించడానికి మరియు రక్షణాత్మక ప్రక్రియలను ముగించడానికి BYOVD దాడులలో eskle.sys డ్రైవర్‌ను ఉపయోగించడం.
• Linux హోస్ట్‌లలోకి పార్శ్వంగా తరలించడానికి PuTTY SSH క్లయింట్‌లను అమలు చేస్తోంది.
• COROXY బ్యాక్‌డోర్ ద్వారా C2 ట్రాఫిక్‌ను అస్పష్టం చేయడానికి వివిధ డైరెక్టరీలలో SOCKS ప్రాక్సీ ఉదంతాలను అమలు చేయడం.
• Linux ransomware బైనరీని Windows సిస్టమ్‌లలోకి తరలించడానికి WinSCPని ఉపయోగించడం.
• Windows మెషీన్‌లలో నేరుగా Linux ransomware బైనరీని అమలు చేయడానికి Splashtop Remote యొక్క SRManager.exeని ఉపయోగించడం.

క్రాస్-ప్లాట్‌ఫామ్ ఇంపాక్ట్ మరియు వర్చువలైజేషన్ టార్గెటింగ్

Linux బైనరీ క్రాస్-ప్లాట్‌ఫారమ్ సామర్థ్యాన్ని అందిస్తుంది: ఒకే పేలోడ్ ఒక వాతావరణంలో Linux మరియు Windows సిస్టమ్‌లను ప్రభావితం చేస్తుంది. ఇటీవల, Qilin నమూనాలను Nutanix AHV వాతావరణాలను గుర్తించడానికి నవీకరించబడింది, సమూహం సాంప్రదాయ VMware విస్తరణలను దాటి ఆధునిక హైపర్‌కన్వర్జ్డ్ ఇన్‌ఫ్రాస్ట్రక్చర్‌లలో లక్ష్యాన్ని విస్తరిస్తోందని నిరూపిస్తుంది.

సారాంశం

క్విలిన్ ఆపరేషన్ క్రెడెన్షియల్ స్టీలింగ్, చట్టబద్ధమైన అడ్మిన్ టూలింగ్ దుర్వినియోగం, BYOVD టెక్నిక్‌లు, బ్యాకప్ సిస్టమ్‌లపై లక్ష్యంగా చేసుకున్న దాడులు మరియు ప్రభావాన్ని పెంచడానికి మరియు గుర్తింపును నివారించడానికి క్రాస్-ప్లాట్‌ఫామ్ రాన్సమ్‌వేర్‌లను మిళితం చేస్తుంది. డిఫెండర్లు క్రెడెన్షియల్ పరిశుభ్రత, రిమోట్ యాక్సెస్ ఇంటర్‌ఫేస్‌లపై మల్టీఫ్యాక్టర్ ప్రామాణీకరణ, బ్యాకప్ సిస్టమ్‌ల విభజన, చట్టబద్ధమైన రిమోట్-మేనేజ్‌మెంట్ టూల్స్ యొక్క అసాధారణ ఉపయోగం కోసం కఠినమైన పర్యవేక్షణ మరియు డ్రైవర్-ఆధారిత BYOVD కార్యాచరణను గుర్తించడానికి నియంత్రణలకు ప్రాధాన్యత ఇవ్వాలి. ఈ చర్యలు సేకరించిన ఆధారాలు లేదా ఒకే ఒక రాజీ పాయింట్ పూర్తి స్థాయి రాన్సమ్‌వేర్ విస్తరణకు దారితీసే సంభావ్యతను తగ్గిస్తాయి.