Qilin Ransomware Group

Ang Qilin (sinusubaybayan din bilang Agenda, Gold Feather, at Water Galura) ay naging isa sa pinaka-prolific na Ransomware‑as‑a-Service (RaaS) na operasyon na aktibo ngayon. Mula noong simula ng 2025, ang grupo ay nag-post ng higit sa 40 biktima bawat buwan (ang Enero ang tanging exception), na umabot sa humigit-kumulang 100 na mga entry sa leak-site noong Hunyo at nagre-record ng 84 na biktima sa bawat Agosto at Setyembre 2025. Aktibo mula noong mga Hulyo 2022, ang bilis at taktika ng Qilin ay nagiging isang mataas na panganib sa buong mundo.

Sino ang Tinamaan - Heograpiya At Mga Industriya

Ipinapakita ng pagsusuri sa telemetry ng insidente na ang mga biktima ni Qilin ay puro sa North America at Western Europe, kasama ang United States, Canada, United Kingdom, France, at Germany sa mga pinaka-apektadong bansa. Pinapaboran ng grupo ang ilang partikular na vertical: ang pagmamanupaktura ay nagkakahalaga ng humigit-kumulang 23% ng mga sinusunod na target, propesyonal at siyentipikong serbisyo tungkol sa 18%, at wholesale trade halos 10%.

Paunang Pag-access At Maagang Panghawakan

Naniniwala ang mga imbestigador na maraming panghihimasok sa kaakibat ng Qilin ang nagsisimula sa mga na-leak na kredensyal na administratibo na nakuha mula sa mga dark-web na repository. Ginagamit ng mga kalaban ang mga kredensyal na iyon upang mag-log in sa pamamagitan ng isang VPN interface at pagkatapos ay magsagawa ng mga RDP na koneksyon sa mga controller ng domain at iba pang mga nakompromisong endpoint. Mula doon, lumipat sila sa pagmamapa ng kapaligiran at mas malalim na pagmamanman.

Pag-aani at Pag-aayos ng Kredensyal

Malawakang ginagamit ng mga Qilin campaign ang mga tool at teknik sa pag-aani ng kredensyal. Ang mga operator at kaakibat ay nagpapatakbo ng Mimikatz kasama ng mga utility gaya ng WebBrowserPassView.exe, BypassCredGuard.exe, at SharpDecryptPwd upang kumuha ng mga lihim mula sa mga browser, system store, at iba pang mga application. Na-exfiltrate ang mga na-harvest na kredensyal sa mga external na SMTP server gamit ang mga Visual Basic na script. Ang paggamit ng Mimikatz na naobserbahan sa ligaw ay may kasamang mga aksyon sa:

• i-clear ang mga log ng kaganapan sa Windows at kung hindi man ay burahin ang mga bakas;
• paganahin ang SeDebugPrivilege;
• i-extract ang mga naka-save na password ng Chrome mula sa mga database ng SQLite;
• mabawi ang mga kredensyal mula sa mga nakaraang logon; at
• pagsasaayos ng ani at mga kredensyal para sa RDP, SSH, at Citrix.

Pamumuhay-off-the-land At Mga Lehitimong Tool na Inabuso

Pinaghahalo ng mga banta ng mga aktor ang halatang malware sa mga lehitimong system utilities at kilalang mga tool ng admin upang pagsamahin. Nakita silang nagbubukas ng mga file gamit ang mspaint.exe, notepad.exe, at iexplore.exe upang manu-manong suriin ang nilalaman para sa sensitibong impormasyon, at gamit ang bonafide na kliyente ng Cyberduck upang ilipat ang mga napiling file sa malalayong server habang nagtatago ng malisyosong layunin.

Paano Nagagamit ang Mga Ninakaw na Kredensyal

Kapag nasa kamay na ang mga kredensyal, pinalalaki ng mga aktor ng Qilin ang mga pribilehiyo at kumakalat sa gilid. Ginamit ang mataas na access para mag-install ng iba't ibang remote monitoring and management (RMM) at remote-access na mga produkto — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist, at ScreenConnect — bagama't hindi palaging matukoy ng mga mananaliksik (Talos) kung ang bawat produkto ay ginamit pangunahin para sa lateral na paggalaw o para sa patuloy na remote control.

Pag-iwas, Pagtitiyaga, at Pagkatapos ng pagsasamantala

Para makaiwas sa pagtuklas, nagsasagawa ang mga umaatake ng mga pagkakasunud-sunod ng PowerShell na hindi pinapagana ang AMSI, i-off ang pagpapatunay ng TLS certificate, at i-enable ang Restricted Admin mode. Nag-deploy din sila ng mga gamit sa istilo ng kill-switch gaya ng dark-kill at HRSword upang wakasan ang mga produktong panseguridad. Para sa pagtitiyaga at palihim na command-at-control ginagamit nila ang Cobalt Strike at SystemBC.

Pag-deploy at Paglilinis ng Ransomware

Ang huling yugto ay ang pag-deploy ng Qilin ransomware: ang mga file ay naka-encrypt, ang mga tala ng ransom ay ibinabagsak sa mga naka-encrypt na folder, ang mga log ng kaganapan sa Windows ay napupunas, at ang lahat ng mga kopya ng anino na ginawa ng Volume Shadow Copy Service (VSS) ay tinanggal upang biguin ang mga pagsisikap sa pagbawi.

Mga advanced na hybrid attack chain (Linux binary sa Windows + BYOVD)
Ang ilang mga sopistikadong insidente ng Qilin ay pinagsama ang ilang mga advanced na diskarte. Ang mga operator ay nag-deploy ng Linux-compiled ransomware binary ngunit naisakatuparan ito sa mga Windows host, ipinares ang payload na iyon sa isang 'bring your own vulnerable driver' (BYOVD) na pamamaraan upang hindi paganahin ang mga depensa, at gumamit ng lehitimong tool sa pamamahala ng IT upang lumipat sa kapaligiran at magsagawa ng mga payload. Sa mga pag-atakeng ito, ang driver ng eskle.sys ay naobserbahan bilang ang masusugatan na bahagi ng driver na ginagamit upang hindi paganahin ang mga kontrol sa seguridad, patayin ang mga proseso, at iwasan ang pagtuklas.

Pag-target sa Pag-backup At Iniangkop na Pagnanakaw ng Kredensyal

Ang Qilin ay partikular na naka-target sa Veeam backup infrastructure. Gumamit ang mga umaatake ng mga espesyal na tool sa pagkuha ng kredensyal laban sa mga backup na database upang makakuha ng mga kredensyal, sistematikong ikompromiso ang mga platform sa pagbawi ng sakuna ng mga organisasyon bago i-drop ang ransomware, na makabuluhang nagtataas ng mga stake para sa mga apektadong biktima.

Phishing At Mga Pekeng Mekanismo ng Paghahatid ng CAPTCHA

Higit pa sa wastong pag-abuso sa account, nagsimula ang ilang partikular na panghihimasok sa spear‑phishing o sa ClickFix‑style na pekeng CAPTCHA na mga pahina na naka-host sa Cloudflare R2. Ang mga page na iyon ay lumilitaw na naghahatid ng mga payload na nagnanakaw ng impormasyon na kumukuha ng mga kredensyal, na pagkatapos ay muling gagamitin upang makakuha ng paunang access sa network.

Ang mga pangunahing pamamaraan at imprastraktura na naobserbahan, kasama ang:

• Pag-deploy ng SOCKS proxy DLL upang paganahin ang malayuang pag-access at pagpapatupad ng command.
• Inaabuso ang ScreenConnect upang patakbuhin ang mga command sa pagtuklas at mga tool sa pag-scan ng network upang mahanap ang mga target na lateral movement.
• Pag-target sa Veeam backup system upang kunin ang mga backup na kredensyal mula sa maraming database.
• Gamit ang driver ng eskle.sys sa mga pag-atake ng BYOVD upang i-neutralize ang software ng seguridad at wakasan ang mga prosesong nagtatanggol.
• Pag-deploy ng mga kliyente ng PuTTY SSH upang lumipat sa gilid sa mga host ng Linux.
• Pagpapatakbo ng mga SOCKS proxy instance sa iba't ibang direktoryo upang i-obfuscate ang trapiko ng C2 sa pamamagitan ng COROXY backdoor.
• Gamit ang WinSCP para ilipat ang Linux ransomware binary sa mga Windows system.
• Gamit ang SRManager.exe ng Splashtop Remote para i-execute ang Linux ransomware binary nang direkta sa mga Windows machine.

Cross-platform na Epekto At Pag-target sa Virtualization

Ang Linux binary ay nagbibigay ng cross-platform na kakayahan: ang isang payload ay maaaring makaapekto sa parehong Linux at Windows system sa isang kapaligiran. Higit pang mga kamakailan, ang mga sample ng Qilin ay na-update upang makita ang mga kapaligiran ng Nutanix AHV, na nagpapakita na ang grupo ay nagpapalawak ng pag-target nang higit pa sa tradisyonal na pag-deploy ng VMware sa mga modernong hyperconverged na imprastraktura.

Buod

Pinagsasama ng operasyon ng Qilin ang pagnanakaw ng kredensyal, maling paggamit ng lehitimong admin tooling, mga diskarte sa BYOVD, mga naka-target na pag-atake sa mga backup na system, at cross-platform na ransomware upang i-maximize ang epekto at maiwasan ang pagtuklas. Dapat unahin ng mga tagapagtanggol ang kalinisan ng kredensyal, multifactor authentication sa mga remote access interface, pagse-segment ng mga backup system, mahigpit na pagsubaybay para sa maanomalyang paggamit ng mga lehitimong remote-management tool, at mga kontrol upang matukoy ang aktibidad ng BYOVD na nakabatay sa driver. Binabawasan ng mga hakbang na ito ang posibilidad na ang mga na-harvest na kredensyal o isang punto ng kompromiso ay hahantong sa buong-scale na pag-deploy ng ransomware.