Qilin
Il gruppo ransomware Qilin, noto anche con il suo precedente nome Agenda, è una sofisticata operazione di Ransomware-as-a-Service (RaaS) emersa nel 2022 e che da allora si è evoluta fino a diventare una delle minacce di estorsione informatica più attive e adattabili, prendendo di mira settori critici in tutto il mondo attraverso tattiche di doppia estorsione, personalizzazione avanzata e una rete di affiliati in rapida espansione.
Informazioni generali su Qilin
Il gruppo operava originariamente con il nome Agenda (osservato per la prima volta a metà del 2022). Nel settembre 2022 ha cambiato nome in Qilin (dal nome della creatura mitologica). Il "ransomware Qilin" è quindi talvolta indicato come Agenda o Qilin/Agenda.
Qilin opera come Ransomware-as-a-Service (RaaS), supportando gli affiliati che effettuano attacchi utilizzando i suoi strumenti, la sua infrastruttura e il suo sito di divulgazione. Vengono riportate le percentuali di profitto degli affiliati: in molti casi circa il 15-20% va all'operatore. In alcuni casi, per riscatti superiori a determinate soglie, gli affiliati possono trattenere l'80-85% (cioè l'operatore prende una quota minore) per incentivare attacchi più consistenti.
Sebbene non vi siano attribuzioni definitive, le prove suggeriscono che gli operatori principali siano russi o abbiano sede negli ex Stati sovietici / della CSI:
- Il file binario del ransomware a volte include un "kill switch" o un controllo della lingua per evitare l'esecuzione su sistemi con impostazioni locali russe o dell'Europa orientale.
- Il reclutamento di affiliati è stato osservato su forum clandestini in lingua russa.
- La politica di non attaccare le organizzazioni CIS / russe (ex URSS) è coerente con quella di molti gruppi di ransomware di origine russa.
- La tempistica degli attacchi, il riutilizzo del codice, le firme operative e l'uso del linguaggio sono tutti elementi in linea con la cultura cybercriminale dell'Europa orientale.
Qilin/Agenda inizialmente era implementato in Golang; versioni successive sono state osservate in Rust e strumenti aggiornati. Il payload del ransomware e il pannello degli affiliati sono personalizzabili (ovvero, gli affiliati possono selezionare quali tipi di file o directory ignorare, le modalità di crittografia, i processi da terminare e così via). Il gruppo ha migliorato la propria offerta nel tempo, aggiungendo funzionalità al proprio sito/blog di divulgazione, componenti di "assistenza legale" per gli affiliati, negoziazione automatizzata, capacità DDoS e supporto spam.
Paesi presi di mira da Qilin
Le attività del gruppo sono globali, con vittime in Nord America, Europa, Asia, America Latina e altrove.
Nelmaggio 2023, il sito di fuga di dati di Qilin ha avuto vittime provenienti da Australia, Brasile, Canada, Colombia, Francia, Paesi Bassi, Serbia, Regno Unito, Giappone e Stati Uniti .
Moltiattacchi evitano gli Stati della CSI / ex Unione Sovietica, in linea con le regole interne del gruppo.
Settori target di Qilin
- Servizi sanitari e medici: Qilin ha ripetutamente preso di mira fornitori di servizi medici, servizi diagnostici e laboratori di analisi del sangue, che hanno un valore elevato a causa della sensibilità dei dati critici e delle operazioni.
- Settore manifatturiero e industriale: attacchi a impianti di produzione e produttori di componenti.
- Edilizia, ingegneria, infrastrutture: diverse segnalazioni di aggressioni a società di consulenza edile e aziende del settore.
- T ecnologia, software, servizi IT: grazie alla loro connettività e all'accesso ad altre reti.
- Finanza, servizi professionali: occasionalmente oggetto di attacchi mirati, soprattutto quando sono disponibili dati sensibili o dati dei clienti.
- Beni di consumo / beni industriali: il recente attacco rivendicato contro il Gruppo Asahi (Giappone, bevande/birra) è un esempio di espansione verso grandi conglomerati.
Le vittime di Qilin
Qilin ha violato più di 895 vittime in tutto il mondo.
Metodo di attacco di Qilin
Utilizzo di servizi remoti esposti (ad esempio RDP, VPN), sfruttamento delle vulnerabilità delle applicazioni/del software rivolti al pubblico,phishing phishing phishing e, talvolta, utilizzo di dispositivi FortiGate esposti.
Utilizzo di account/credenziali validi (acquistati, rubati o ottenuti tramite traversal laterale), furto di token/usurpazione di identità, iniezione di processi, possibile sfruttamento di vulnerabilità nel software o nel sistema operativo.
Cancellazione dei log / cancellazione dei log degli eventi di sistema, disabilitazione o terminazione dei servizi di sicurezza/antivirus, offuscamento dell'esecuzione, selezione delle directory/dei file da ignorare per evitare il rilevamento, thread di pulizia periodica.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento degli archivi di configurazione del software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni, dei controller di dominio, individuazione dei percorsi di routing, mappatura dei file server e degli archivi dati.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; pivotaggio tramite SMB, RPC, esecuzione di comandi remoti; diffusione a sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad esempio database, documenti, file sensibili), preparazione dei pacchetti di esfiltrazione, compressione/crittografia dei dati esfiltrati.
Distribuzione del payload del ransomware. Spesso eseguito tramite riga di comando con parametri, utilizzo di eseguibili personalizzati (ad esempio "w.exe"), possibilmente sfruttando l'infrastruttura di backup o VM per propagare la crittografia.
Caricamento dei dati rubati su server controllati dall'autore dell'attacco, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali crittografati o strumenti proxy, possibilmente tramitemalware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di richieste di riscatto, minacce di divulgazione pubblica dei dati, negazione dell'accesso ai sistemi.
Utilizzo di servizi remoti esposti (ad esempio RDP, VPN), sfruttamento delle vulnerabilità delle applicazioni/del software rivolti al pubblico,phishing phishing phishing e, talvolta, utilizzo di dispositivi FortiGate esposti.
Utilizzo di account/credenziali validi (acquistati, rubati o ottenuti tramite traversal laterale), furto di token/usurpazione di identità, iniezione di processi, possibile sfruttamento di vulnerabilità nel software o nel sistema operativo.
Cancellazione dei log / cancellazione dei log degli eventi di sistema, disabilitazione o terminazione dei servizi di sicurezza/antivirus, offuscamento dell'esecuzione, selezione delle directory/dei file da ignorare per evitare il rilevamento, thread di pulizia periodica.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento degli archivi di configurazione del software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni, dei controller di dominio, individuazione dei percorsi di routing, mappatura dei file server e degli archivi dati.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; pivotaggio tramite SMB, RPC, esecuzione di comandi remoti; diffusione a sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad esempio database, documenti, file sensibili), preparazione dei pacchetti di esfiltrazione, compressione/crittografia dei dati esfiltrati.
Distribuzione del payload del ransomware. Spesso eseguito tramite riga di comando con parametri, utilizzo di eseguibili personalizzati (ad esempio "w.exe"), possibilmente sfruttando l'infrastruttura di backup o VM per propagare la crittografia.
Caricamento dei dati rubati su server controllati dall'autore dell'attacco, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali crittografati o strumenti proxy, possibilmente tramitemalware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di richieste di riscatto, minacce di divulgazione pubblica dei dati, negazione dell'accesso ai sistemi.
TTP utilizzati da Qilin
Come rilevare Qilin con Vectra AI
Domande frequenti
Qual è il motivo principale di Qilin?
Qilin è motivato da ragioni finanziarie. Le sue operazioni ruotano attorno all'estorsione tramite ransomware (crittografia + divulgazione). Non vi sono messaggi ideologici o politici espliciti nei suoi siti di divulgazione pubblica o nelle sue campagne.
In che modo Qilin garantisce che gli affiliati rispettino le regole (ad esempio, non attaccare le regioni CIS)?
Il file binario del ransomware può includere un kill switch basato sulla lingua per impedire l'esecuzione in contesti russi/dell'Europa orientale. Inoltre, nei loro accordi di affiliazione applicano delle politiche (ad esempio, vietando di prendere di mira entità della CSI/russe).
Qilin può essere rilevato o bloccato dai moderni sistemi EDR / XDR?
Molti fornitori di soluzioni di sicurezza sostengono che i loro strumenti siano in grado di rilevare il comportamento di Qilin/Agenda, ma il rilevamento è difficile a causa della personalizzazione, dell'offuscamento e delle tattiche di pulizia dei log utilizzate da Qilin e dai suoi affiliati. Pertanto, sono fondamentali endpoint robusti, rilevamento delle anomalie, segmentazione della rete e monitoraggio della sicurezza.
Quali sono i buoni indicatori precoci o IOC dell'infiltrazione di Qilin?
Alcuni indicatori utili includono:
- Connessioni esterne insolite a host rari o nuovi (in particolare domini in .ru o TLD rari).
- Tentativi improvvisidi accedere o enumerare backup o controller di dominio.
- Esecuzione di file binari sconosciuti o rinominati (ad esempio "w.exe") con argomenti della riga di comando.
- Cancellazione/pulizia dei registri eventi di sistema.
- Utilizzodi malware proxy o SOCKS malware ad esempio SystemBC) per incanalare il traffico.
- Attività insolita di scansione o movimenti laterali nella rete.
Come dovrebbero prepararsi le organizzazioni per resistere a un attacco Qilin?
Alcune strategie di difesa includono:
- Autenticazione forte e igiene delle credenziali (autenticazione a più fattori, privilegio minimo, archiviazione delle credenziali).
- Gestione delle patch e delle vulnerabilità (in particolare per app rivolte al pubblico, software di backup, VPN).
- Segmentazione della rete e isolamento dei sistemi critici (in particolare i backup).
- Monitoraggio di comportamenti anomali (connessioni insolite, scansioni, nuovi file binari).
- Backup frequenti e immutabili (comprese copie fuori rete e isolate).
- Pianificazione e esercitazioni di risposta agli incidenti (comprese esercitazioni teoriche).
- Utilizzo di una soluzione di rilevamento e risposta alle minacce basata sul comportamento piuttosto che affidarsi esclusivamente alle firme.
- Threat intelligence e threat hunting incentrati sugli indicatori delle affiliate di Qilin.
Qual è la tempistica di un tipico attacco Qilin dal compromesso all'impatto?
Sebbene le tempistiche varino a seconda della vittima e dell'affiliato, lo schema spesso prevede: compromissione iniziale (tramite RDP / exploit / phishing), movimento laterale e ricognizione nell'arco di ore o giorni, sottrazione di dati sensibili, quindi rapida crittografia dei sistemi, seguita da richieste di riscatto. Alcune campagne implementano la crittografia entro poche ore dalla compromissione, soprattutto quando il livello di automazione è elevato.
Le vittime possono negoziare o pagare Qilin in modo sicuro?
La negoziazione è una pratica comune nel ransomware, compreso Qilin. Tuttavia, pagare comporta dei rischi: mancata consegna delle chiavi di decrittazione, ulteriori estorsioni, fuga di informazioni nonostante il pagamento o ulteriori compromissioni. Alcuni affiliati o operatori potrebbero onorare gli accordi, ma non vi è alcuna garanzia. Le vittime dovrebbero valutare attentamente i rischi legali, reputazionali e operativi e, idealmente, rivolgersi a consulenti legali e specializzati nella risposta agli incidenti.
È disponibile un decryptor pubblico per Qilin / Agenda?
In base alle fonti aperte attualmente pubblicate, non è noto alcun decryptor pubblico in grado di decriptare in modo affidabile i dati crittografati con Qilin senza pagamento.
Come si colloca Qilin rispetto ad altri gruppi di ransomware (ad esempio LockBit, Black Basta)?
Qilin è unico per il suo elevato grado di flessibilità degli affiliati, le caratteristiche promozionali (ad esempio "chiama l'avvocato" nel pannello) e la rapida crescita. Ha assorbito gli affiliati sfollati a causa di interruzioni in altre operazioni RaaS (ad esempio dopo le interruzioni di LockBit). Tende a puntare su obiettivi opportunistici piuttosto che su operazioni altamente personalizzate a livello statale.
Quali sono i segnali di allarme (bandiere rosse) nell'intelligence sulle minacce o nelle conversazioni sul dark web?
- Post di reclutamento di affiliati per Qilin su forum clandestini.
- Nuovi post sul blog o fughe di notizie sulle vittime pubblicati su un sito di fughe di notizie Qilin.
- Nuove versioni dei file binari del ransomware Qilin (ad esempio in Rust) compaiono nei malware .
- Notizie pubbliche relative a campagne su larga scala contro i Qilin o segnalazioni di decine o centinaia di vittime.