Vectra AI è stata nominata Leader nel Quadrante Magico Gartner 2025 per Network Detection and Response (NDR). >
NUOVO

Vectra AI è stata nominata Leader nel Magic Quadrant Gartner 2025 per il Network Detection and Response (NDR). Scarica il rapporto. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icona dell'hamburger in alto
Icona dell'hamburger linea centrale
Icona dell'hamburger linea di fondo
Briefing sulle minacce

Il libro di gioco di Qilin per il 2025 e la lacuna di sicurezza che espone

15 ottobre 2025
Lucie Cardiet
Responsabile della ricerca sulle minacce informatiche
Il libro di gioco di Qilin per il 2025 e la lacuna di sicurezza che espone

Qilin non è spuntato dal nulla. Il gruppo è maturato in un'operazione di ransomware-as-a-service ad alta velocità nel 2025, scalando gli attacchi in agenzie pubbliche, istruzione, sanità, produzione e grandi imprese. Diverse raccolte di intelligence collocano Qilin tra i gruppi più attivi di quest'anno, con una quota a due cifre di post mensili di vittime e una crescita a tre cifre su base annua. I team di sicurezza in Francia e negli Stati Uniti hanno avvertito direttamente questa impennata, dai consigli regionali e dai distretti scolastici agli uffici degli sceriffi e alle aziende manifatturiere.

foto di uno schermo bloccato dal ransomware Qilin
Fonte: x

Chi è Qilin, in termini pratici

Qilin utilizza un modello RaaS classico. Gli operatori principali gestiscono il malware, i siti di leak e i portali di negoziazione. Gli affiliati ottengono l'accesso iniziale, si spostano lateralmente, rubano i dati, distribuiscono il locker, quindi mettono sotto pressione le vittime con minacce di pubblicazione. Ricerche pubbliche e analisi dei fornitori descrivono che Qilin utilizza payload compatibili con Windows, Linux ed ESXi, originariamente associati alla famiglia Agenda, insieme a strumenti che favoriscono la rapidità di distribuzione e le fasi di antidifesa.

In breve, l'affiliato specifico e il vettore di ingresso possono variare, ma l'arco operativo di Qilin è coerente. Aspettatevi un accesso guidato dalle credenziali, un movimento laterale silenzioso, l'implementazione di batch, il furto di dati e infine l'estorsione.

L'anatomia di un attacco Qilin

Le operazioni di Qilin seguono una catena di attività riconoscibile. Ogni fase rivela un'opportunità di rilevamento che spesso passa inosservata agli strumenti convenzionali.

Fase di attacco Tecniche utilizzate da Qilin Sfida del rilevamento delle chiavi
Accesso iniziale Spearphishing, sfruttamento di RMM, bombardamento MFA, scambio di SIM, abuso di credenziali Gli aggressori entrano utilizzando canali apparentemente legittimi. Lo spearphishing spesso utilizza collegamenti cloud affidabili o esche di fatture per raccogliere credenziali. L'abuso di RMM fornisce un accesso simile al supporto remoto che sembra legittimo agli strumenti di monitoraggio. Gli attacchi MFA bombing e SIM swap trasformano la protezione a più fattori in una passività, costringendo o intercettando le approvazioni. Queste tecniche producono sessioni di autenticazione e remote che appaiono normali, per cui il rilevamento basato su regole e i controlli incentrati sulle firme di solito li ignorano. Per individuare una compromissione precoce sono necessari un baselining continuo delle identità e il rilevamento di percorsi di autenticazione anomali.
Stabilire un punto d'appoggio Distribuzione di strumenti remoti, escalation dei privilegi, persistenza tramite attività programmate. Dopo l'accesso, gli affiliati rafforzano la persistenza e ampliano i privilegi. Aggiungono account di amministrazione, impiantano shell remote o persistenza basata su attività e disabilitano la telemetria per ostacolare il rilevamento. Queste azioni spesso rispecchiano le finestre di modifica dell'amministratore di routine, in modo da confondersi con le attività IT legittime. Una piattaforma incentrata sul comportamento evidenzia tempistiche insolite, creazioni di account inaspettate e improvvise lacune nella telemetria per far emergere questa fase.
Movimento laterale RDP, SMB, abuso di AD, uso di GPO per la distribuzione di ransomware Gli operatori di Qilin fanno leva sui protocolli di gestione legittimi e sull'abuso di AD. Enumerano i trust e gli account di servizio, quindi utilizzano GPO o push di script per eseguire payload su scala. Poiché si tratta di modelli di amministrazione nativi, le regole del perimetro e degli endpoint tendono a classificarli come rumore di manutenzione. Il rilevamento richiede la mappatura delle relazioni tipiche degli amministratori e la segnalazione di grafici di autenticazione rari, catene di processi insoliti o modifiche GPO atipiche.
Estrazione dei dati Trasferimenti di dati API Rclone, SMB e cloud L'esfiltrazione avviene da server, backup o account privilegiati per ridurre i sospetti. I file sono spesso archiviati o crittografati prima del trasferimento, il che nasconde le impronte digitali dei contenuti. I trasferimenti rispecchiano i lavori di backup o di sincronizzazione, quindi i soli avvisi volumetrici sono insufficienti. Per svelare i comportamenti precursori dell'esfiltrazione è necessaria una correlazione contestuale che colleghi account di origine insoliti, destinazioni inedite e tempistiche al di fuori delle finestre programmate.
Impatto e crittografia Ransomware basato su Rust con AES-256-CTR, OAEP, AES-NI, ChaCha20; elimina VSS; cancella i registri I moderni payload di Qilin combinano la crittografia simmetrica ad alta velocità e accelerazione hardware con un robusto wrapping di chiavi asimmetriche, rendendo di fatto impossibile il recupero senza chiavi. I rubatori di estensioni di Chrome mirano alle credenziali e alle sessioni memorizzate nel browser per ampliare l'accesso. Le routine anti-forensics cancellano i registri degli eventi di Windows e rimuovono il payload per vanificare l'IR. Gli aggressori eliminano anche le Volume Shadow Copies e corrompono i backup per forzare il pagamento. Il rilevamento deve quindi avvenire prima della fase di crittografia; dare priorità a segnali comportamentali come arresti rapidi dei servizi, attività di file staging di massa, operazioni VSS improvvise e uso insolito di estensioni del browser o archivi di credenziali.

Ciascuna delle fasi seguenti rappresenta un'impronta comportamentale che l'analisi guidata dall'intelligenza artificiale può far emergere, ma che gli strumenti basati su regole spesso trascurano.

1. Accesso iniziale

Gli affiliati di Qilin si affidano all'ingegneria sociale e allo sfruttamento degli accessi per violare gli obiettivi.

Le tecniche più comuni includono:

  • Spearphishing: le e-mail phishing mirate forniscono payload dannosi o link per l'acquisizione di credenziali. Qilin spesso utilizza piattaforme di condivisione di file cloud legittime per apparire affidabile.
  • Sfruttamento del monitoraggio e della gestione remoti (RMM): Gli aggressori dirottano o imitano strumenti RMM affidabili come AnyDesk o ConnectWise per ottenere la persistenza con il pretesto dell'assistenza IT.
  • Movimento laterale e sfruttamento: Una volta entrato, Qilin sonda i sistemi connessi e si muove attraverso le condivisioni di rete o i trust di dominio, alla ricerca di credenziali deboli o configurazioni errate.
  • Bombardamento dell'autenticazione a più fattori (MFA): Richieste ripetute di MFA push che sovraccaricano un utente, inducendolo ad approvare un login fraudolento.
  • Scambio di SIM: In alcuni casi, gli affiliati di Qilin utilizzano lo scambio di SIM per intercettare i token MFA, in particolare negli account dei dirigenti o degli amministratori.

Perché funziona: Ognuna di queste tecniche sfrutta il comportamento legittimo degli utenti , non le firme del malware . Senza un'analisi continua delle identità e un baselining comportamentale, i team SOC le considerano come "accessi normali".

2. Stabilire il punto d'appoggio e l'escalation dei privilegi

Dopo aver ottenuto l'accesso, gli affiliati di Qilin si concentrano sul consolidamento del controllo:

  • Creare nuovi account di amministrazione locali o di dominio per garantire la persistenza.
  • Distribuzione di shell o script remoti per mantenere la connettività continua.
  • Disabilitazione o manomissione delle difese endpoint e dei servizi di registrazione.

In molti casi, disabilitano l'antivirus, sospendono la registrazione e creano punti di accesso secondari attraverso attività programmate o la creazione di servizi. Questa fase può durare giorni, dando loro tutto il tempo necessario per identificare dove risiedono i dati sensibili.

Gap di rilevamento: Queste attività si integrano nei normali flussi di lavoro IT. Senza modelli di intelligenza artificiale addestrati a identificare l'escalation di privilegi insoliti o il riutilizzo di privilegi, tali anomalie sono raramente considerate prioritarie.

3. Movimento laterale e controllo del dominio

Una volta all'interno della rete, Qilin si muove deliberatamente per ottenere il pieno controllo amministrativo. Utilizzano:

  • Remote Desktop Protocol (RDP) e Windows Management Instrumentation (WMI) per il pivoting da host a host.
  • Enumerazione di Active Directory per identificare sistemi e controller di dominio di alto valore.
  • Abuso di Group Policy Object (GPO) per distribuire i payload a livello di rete.

Sfida al rilevamento: Molte di queste azioni rispecchiano funzioni di amministrazione legittime. Solo le piattaforme che modellano continuamente le relazioni tra identità e privilegi possono evidenziare questi comportamenti in tempo reale.

4. Esfiltrazione dei dati

Prima della crittografia, Qilin esfiltra sistematicamente i dati sensibili per una doppia estorsione. Gli strumenti comuni includono Rclone, le condivisioni SMB e le API di archiviazionecloud .

Questi trasferimenti provengono in genere da account di servizio con privilegi elevati o da server di backup, sistemi che raramente attivano avvisi di esfiltrazione. Gli aggressori criptano o comprimono gli archivi prima di caricarli sugli endpoint cloud per ridurre le probabilità di rilevamento.

5. Impatto e crittografia

Nel 2025, Qilin ha introdotto importanti aggiornamenti ai suoi payload ransomware, aumentando sia le prestazioni che la resilienza:

Miglioramenti della crittografia

  • AES-256-CTR: utilizza chiavi a 256 bit in modalità Counter (CTR), consentendo una crittografia simmetrica ad alta velocità.
  • Optimal Asymmetric Encryption Padding (OAEP): Rafforza il wrapping della chiave RSA per resistere agli attacchi crittografici.
  • Ottimizzazione AES-NI: Sfrutta le nuove istruzioni AES x86 per una crittografia quasi istantanea sulle moderne CPU.
  • ChaCha20 Stream Cipher: implementa una crittografia rapida e sicura per alcune comunicazioni e tipi di file.

Queste caratteristiche rendono quasi impossibile la decifrazione senza chiavi. In combinazione con la crittografia parallelizzata, è possibile bloccare intere reti in pochi minuti.

Evasione della sicurezza

Le varianti di Qilin sono progettate per ostacolare le indagini forensi e la risposta agli incidenti:

  • Cancella i registri eventi di Windows per eliminare le tracce di esecuzione.
  • Si elimina dopo la crittografia per cancellare le prove del payload.
  • Uccide i processi di sicurezza e disabilita i rapporti di telemetria prima dell'esecuzione.

Corruzione del backup

  • Elimina le copie d'ombra del volume di Windows (VSS) per impedire il ripristino del sistema.
  • Prende di mira i backup basati sulla rete, spesso corrompendo o criptando le istantanee per massimizzare l'effetto leva.

La falla nella sicurezza sfruttata da Qilin

Gli strumenti tradizionali dipendono da firme, indicatori statici o correlazione post-evento. Qilin prospera in ambienti in cui il comportamento delle identità, il movimento laterale e la telemetria di esfiltrazione non sono unificati.

Il rilevamento basato su agenti ha difficoltà negli ambienti ibridi: server non gestiti, applicazioni IoT o SaaS spesso non vengono monitorati. L'accesso basato su credenziali elude completamente il rilevamento endpoint . E l'affaticamento degli avvisi seppellisce i primi indizi comportamentali che avrebbero dovuto innescare il contenimento.

I team SOC hanno bisogno di una visione unificata del comportamento degli aggressori, correlata alla rete, all'identità e al cloud - esattamente dove la Vectra AI Platform offre visibilità.

Dove la visibilità fallisce, l'individuazione dell'IA cambia il risultato

La Vectra AI Platform rileva i precursori del ransomware concentrandosi sul comportamento, non sulle firme:

  • Visibilità agentless su ambienti ibridi, compresi sistemi non gestiti, ESXi e infrastrutture cloud .
  • Correlazione guidata dall'intelligenza artificiale tra le superfici di identità, rete, SaaS e cloud per rilevare l'uso improprio delle credenziali, i movimenti laterali e l'esfiltrazione.
  • Triage e prioritizzazione in tempo reale che consolida i segnali deboli in un unico incidente ad alta affidabilità.
  • Integrazione perfetta con gli strumenti SIEM, SOAR e EDR esistenti per accelerare la risposta.

Mappando i comportamenti degli aggressori invece di aspettare gli indicatori, Vectra AI consente ai team SOC di interrompere le campagne di tipo Qilin prima che si verifichino la crittografia e l'esposizione dei dati.

Il successo di Qilin nel 2025 dimostra che il ransomware non dipende più da nuove vulnerabilità. Dipende dai punti ciechi punti ciechi tra i vostri strumenti. Con il rilevamento guidato dall'intelligenza artificiale che monitora continuamente il comportamento attraverso l'identità, la rete e il cloud, il team SOC può individuare le azioni che definiscono i moderni operatori di ransomware prima che inizi la crittografia.

Scoprite come la piattaforma Vectra AI di Vectra AI rileva ciò che agli altri sfugge. Guardate la demo autoguidata per sperimentare il rilevamento guidato dal comportamento in azione.

DOMANDE FREQUENTI