Qilin
Il gruppo di ransomware Qilin — noto anche con il suo nome precedente, Agenda — è una sofisticata operazione di tipo Ransomware-as-a-Service (RaaS) emersa nel 2022 e che da allora si è evoluta fino a diventare una delle minacce di estorsione informatica più attive e adattabili, prendendo di mira settori critici in tutto il mondo attraverso tattiche di doppia estorsione, personalizzazione avanzata e una rete di affiliati in rapida espansione.
Informazioni generali su Qilin
Inizialmente il gruppo operava con il nome di Agenda (avvistato per la prima volta a metà del 2022). Nel settembre 2022 ha cambiato nome in Qilin (dal nome della creatura mitologica). Il "ransomware Qilin" viene quindi talvolta indicato come Agenda o Qilin/Agenda.
Qilin opera come un servizio di ransomware (RaaS), fornendo supporto agli affiliati che sferrano attacchi utilizzando i suoi strumenti, la sua infrastruttura e il suo sito di divulgazione. Sono state rese note le percentuali di ripartizione dei profitti tra gli affiliati: in molti casi, all'operatore spetta una quota pari al 15-20% circa. Secondo alcune fonti, per i riscatti che superano determinate soglie, gli affiliati potrebbero trattenere l'80-85% (ovvero l'operatore riceve una quota minore) al fine di incentivare attacchi di maggiore entità.
Sebbene non vi sia un'attribuzione definitiva, gli indizi suggeriscono che gli operatori principali siano russi o abbiano sede in paesi dell'ex Unione Sovietica o della Comunità degli Stati Indipendenti:
- Il file binario del ransomware include talvolta un "kill switch" o un controllo della lingua per impedire l'esecuzione su sistemi con impostazioni locali in russo o dell'Europa orientale.
- Il reclutamento di affiliati viene segnalato su forum clandestini in lingua russa.
- La politica di non attaccare le organizzazioni della CSI / russe (ex Unione Sovietica) è in linea con quella di molti gruppi di ransomware di origine russa.
- La tempistica degli attacchi, il riutilizzo del codice, le firme operative e l'uso del linguaggio sono tutti elementi che rispecchiano la cultura dei criminali informatici dell'Europa orientale.
Qilin/Agenda era inizialmente implementato in Golang; nelle versioni successive sono state rilevate implementazioni in Rust e strumenti aggiornati. Il payload del ransomware e il pannello di controllo degli affiliati sono personalizzabili (ovvero, gli affiliati possono scegliere quali tipi di file o directory escludere, le modalità di crittografia, i processi da terminare e così via). Il gruppo ha potenziato la propria offerta nel corso del tempo, aggiungendo funzionalità al proprio sito/blog dedicato alle fughe di notizie, componenti di "assistenza legale" per gli affiliati, negoziazione automatizzata, capacità DDoS e supporto per lo spam.
Paesi in cui opera Qilin
Il gruppo opera a livello globale, con vittime in Nord America, Europa, Asia, America Latina e in altre regioni.
Nelmaggio 2023, il sito di divulgazione di Qilin ha registrato vittime provenienti da Australia, Brasile, Canada, Colombia, Francia, Paesi Bassi, Serbia, Regno Unito, Giappone e Stati Uniti .
Moltiattacchi evitano i paesi della CSI e gli ex Stati sovietici, in linea con le regole interne del gruppo.
Settori di riferimento di Qilin
- Servizi sanitari e medici: Qilin ha ripetutamente preso di mira fornitori di servizi medici, servizi diagnostici e laboratori di analisi del sangue, settori di grande valore a causa della natura critica dei dati e della delicatezza operativa.
- Settore manifatturiero e industriale: attacchi contro impianti di produzione e produttori di componenti.
- Edilizia, ingegneria, infrastrutture: diverse segnalazioni di attacchi a studi di consulenza edile e aziende del settore.
- Tecnologia, software, servizi informatici: per via della loro connettività e dell'accesso ad altre reti .
- Finanza, servizi professionali: occasionalmente presi di mira, soprattutto quando sono disponibili dati sensibili o dati dei clienti .
- Beni di consumo / beni industriali: il recente attacco attribuito al Gruppo Asahi (Giappone, bevande/birra) è un esempio dell'estensione di tali attacchi ai grandi conglomerati.
Le vittime di Qilin
Qilin ha colpito oltre 895 vittime in tutto il mondo.
Il metodo di attacco del Qilin
Utilizzo di servizi remoti esposti (ad es. RDP, VPN), sfruttamento delle vulnerabilità di applicazioni e software accessibili al pubblico,phishing phishing phishing e, talvolta, utilizzo di dispositivi FortiGate esposti.
Utilizzo di account o credenziali validi (acquistati, rubati o ottenuti tramite traversata laterale), furto di token o furto d'identità, iniezione di processi, eventuale sfruttamento di vulnerabilità nel software o nel sistema operativo.
Cancellazione dei registri / pulizia dei registri di sistema, disattivazione o interruzione dei servizi di sicurezza/antivirus, occultamento dell'esecuzione, selezione delle directory/dei file da ignorare per evitare il rilevamento, thread di pulizia periodica.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento delle configurazioni memorizzate nei software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni e dei controller di dominio, individuazione dei percorsi di routing, mappatura dei file server e degli archivi dati.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; spostamento tramite SMB, RPC, esecuzione di comandi remoti; diffusione verso sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad es. database, documenti, file sensibili), preparazione dei pacchetti per l'esfiltrazione, compressione/crittografia dei dati da esfiltrare.
Distribuzione del payload del ransomware. Spesso viene eseguito tramite riga di comando con parametri, utilizzando un eseguibile personalizzato (ad es. “w.exe”), eventualmente sfruttando infrastrutture di backup o macchine virtuali per diffondere la crittografia.
Caricamento dei dati rubati su server controllati dagli autori dell'attacco, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali crittografati o strumenti proxy, eventualmente tramitemalware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di richieste di riscatto, minacce di divulgazione pubblica dei dati, blocco dell'accesso ai sistemi.
Utilizzo di servizi remoti esposti (ad es. RDP, VPN), sfruttamento delle vulnerabilità di applicazioni e software accessibili al pubblico,phishing phishing phishing e, talvolta, utilizzo di dispositivi FortiGate esposti.
Utilizzo di account o credenziali validi (acquistati, rubati o ottenuti tramite traversata laterale), furto di token o furto d'identità, iniezione di processi, eventuale sfruttamento di vulnerabilità nel software o nel sistema operativo.
Cancellazione dei registri / pulizia dei registri di sistema, disattivazione o interruzione dei servizi di sicurezza/antivirus, occultamento dell'esecuzione, selezione delle directory/dei file da ignorare per evitare il rilevamento, thread di pulizia periodica.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento delle configurazioni memorizzate nei software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni e dei controller di dominio, individuazione dei percorsi di routing, mappatura dei file server e degli archivi dati.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; spostamento tramite SMB, RPC, esecuzione di comandi remoti; diffusione verso sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad es. database, documenti, file sensibili), preparazione dei pacchetti per l'esfiltrazione, compressione/crittografia dei dati da esfiltrare.
Distribuzione del payload del ransomware. Spesso viene eseguito tramite riga di comando con parametri, utilizzando un eseguibile personalizzato (ad es. “w.exe”), eventualmente sfruttando infrastrutture di backup o macchine virtuali per diffondere la crittografia.
Caricamento dei dati rubati su server controllati dagli autori dell'attacco, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali crittografati o strumenti proxy, eventualmente tramitemalware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di richieste di riscatto, minacce di divulgazione pubblica dei dati, blocco dell'accesso ai sistemi.
TTP utilizzati da Qilin
Come rilevare Qilin con Vectra AI
Domande frequenti
Qual è la motivazione principale di Qilin?
Qilin è un gruppo motivato da interessi economici. Le sue attività ruotano attorno all'estorsione tramite ransomware (crittografia + divulgazione). Nei siti di divulgazione pubblici o nelle campagne del gruppo non vi è alcun messaggio ideologico o politico esplicito.
In che modo Qilin garantisce che gli affiliati rispettino le regole (ad esempio, non attaccare le regioni della CSI)?
Il file binario del ransomware potrebbe includere un "kill switch" basato sulla lingua per impedire l'esecuzione in contesti linguistici russi o dell'Europa orientale. Inoltre, nei loro accordi di affiliazione impongono determinate politiche (ad esempio, vietando di prendere di mira entità della CSI o russe).
Qilin può essere rilevato o bloccato dai moderni sistemi EDR/XDR?
Molti fornitori di soluzioni di sicurezza sostengono che i loro strumenti siano in grado di rilevare il comportamento di Qilin/Agenda, ma il rilevamento risulta complesso a causa della personalizzazione, dell'offuscamento e delle tattiche di cancellazione dei log utilizzate da Qilin e dai suoi affiliati. Pertanto, è fondamentale disporre di endpoint robusti, sistemi di rilevamento delle anomalie, segmentazione della rete e monitoraggio della sicurezza.
Quali sono i principali indicatori precoci (IOC) dell'infiltrazione di Qilin?
Tra gli indicatori utili figurano:
- Connessioni esterne insolite verso host rari o nuovi (in particolare domini con estensione .ru o TLD rari).
- Tentativi improvvisidi accedere o di individuare i controller di backup o di dominio.
- Esecuzione di file binari sconosciuti o rinominati (ad es. “w.exe”) con argomenti della riga di comando.
- Cancellazione/ azzeramento dei registri eventi di sistema.
- Utilizzodi malware proxy o SOCKS malware ad es. SystemBC) per instradare il traffico.
- Attività insolita di scansione o spostamenti laterali nella rete.
In che modo le organizzazioni dovrebbero prepararsi a contrastare un attacco Qilin?
Tra le strategie difensive figurano:
- Autenticazione forte e gestione responsabile delle credenziali (autenticazione a più fattori, principio del privilegio minimo, archiviazione delle credenziali).
- Applicazione delle patch e gestione delle vulnerabilità (in particolare per le app accessibili al pubblico, i software di backup e le VPN).
- Segmentazione della rete e isolamento dei sistemi critici (in particolare i backup).
- Monitoraggio di comportamenti anomali (connessioni insolite, scansioni, nuovi file binari).
- Backup frequenti e immutabili (comprese copie fuori rete e isolate fisicamente).
- Pianificazione e esercitazioni relative alla risposta agli incidenti (comprese le simulazioni teoriche).
- Utilizzo di una soluzione di rilevamento e risposta alle minacce basata sul comportamento, anziché affidarsi esclusivamente alle firme.
- Analisi delle minacce e ricerca delle minacce incentrate sugli indicatori degli affiliati di Qilin.
Qual è la tempistica di un tipico attacco Qilin, dalla compromissione all'impatto?
Sebbene le tempistiche varino a seconda della vittima e del gruppo hacker, lo schema tipico prevede spesso: la compromissione iniziale (tramite RDP, exploit o phishing), movimenti laterali e attività di ricognizione che durano da alcune ore a diversi giorni, l'esfiltrazione di dati sensibili, quindi la rapida crittografia dei sistemi, seguita dalla richiesta di riscatto. Alcune campagne attivano la crittografia entro poche ore dalla compromissione, specialmente quando il livello di automazione è elevato.
Le vittime possono negoziare o pagare Qilin in tutta sicurezza?
La negoziazione è una pratica comune nei casi di ransomware, compreso Qilin. Tuttavia, il pagamento comporta dei rischi: mancata consegna delle chiavi di decrittazione, ulteriori estorsioni, fuga di dati nonostante il pagamento o ulteriori violazioni. Alcuni affiliati o operatori potrebbero rispettare gli accordi, ma non vi è alcuna garanzia. Le vittime dovrebbero valutare attentamente i rischi legali, reputazionali e operativi e, idealmente, avvalersi di consulenti legali e di esperti in materia di risposta agli incidenti.
Esiste un programma di decrittografia pubblico per Qilin / Agenda?
In base alle fonti aperte attualmente disponibili, non è noto alcun strumento di decrittografia pubblico in grado di decrittografare in modo affidabile i dati crittografati con Qilin senza il pagamento del riscatto.
In che modo Qilin si differenzia dagli altri gruppi di ransomware (ad esempio LockBit, Black Basta)?
Qilin si distingue per l'elevata flessibilità offerta agli affiliati, le funzionalità promozionali (ad esempio, l'opzione "chiama un avvocato" nel pannello di controllo) e la rapida crescita. Ha assorbito gli affiliati rimasti senza lavoro a causa delle interruzioni subite da altre operazioni RaaS (ad esempio, in seguito alle interruzioni di LockBit). Tende a privilegiare un targeting opportunistico piuttosto che operazioni altamente personalizzate a livello statale.
Quali sono i segnali di allarme (campanelli d'allarme) nell'ambito dell'intelligence sulle minacce o nelle conversazioni sul dark web?
- Post di reclutamento di affiliati per Qilin sui forum clandestini.
- Nuovi post sul blog o informazioni riservate divulgate su un sito di divulgazione Qilin.
- Nei malware stanno comparendo nuove versioni dei file binari del ransomware Qilin (ad esempio in Rust).
- Notizie pubbliche relative a campagne su larga scala condotte da Qilin o segnalazioni di decine o centinaia di vittime.