Qilin
Il gruppo ransomware Qilin, noto anche con il nome precedente di Agenda, è una sofisticata operazione di Ransomware-as-a-Service (RaaS) emersa nel 2022 e da allora evoluta in una delle minacce di estorsione informatica più attive e adattabili, che prende di mira settori critici in tutto il mondo attraverso tattiche di doppia estorsione, personalizzazione avanzata e una rete di affiliati in rapida espansione.
Informazioni di base su Qilin
Il gruppo operava inizialmente con il nome di Agenda (osservato per la prima volta a metà del 2022). Nel settembre 2022 ha cambiato nome in Qilin (dal nome della creatura mitica). Il "ransomware Qilin" viene quindi talvolta indicato come Agenda o Qilin/Agenda.
Qilin funziona come Ransomware-as-a-Service (RaaS), supportando gli affiliati che eseguono attacchi utilizzando i suoi strumenti, l'infrastruttura e il sito di leak. Vengono riportati i profitti degli affiliati: in molti casi, circa il 15-20% per l'operatore. In alcune segnalazioni, per riscatti superiori a determinate soglie, gli affiliati possono trattenere l'80-85 % (cioè l'operatore prende una quota minore) per incentivare attacchi più grandi.
Sebbene non vi sia un'attribuzione definitiva, le prove suggeriscono che gli operatori principali sono russi o basati negli Stati dell'ex Unione Sovietica/CSI:
- Il binario del ransomware a volte include un "kill switch" o un controllo della lingua per evitare l'esecuzione su sistemi con locali russi o dell'Europa orientale.
- Il reclutamento di affiliati viene osservato sui forum clandestini in lingua russa.
- La politica di non attaccare le organizzazioni della CSI/Russia (ex URSS) è coerente con molti gruppi di ransomware di origine russa.
- I tempi di attacco, il riutilizzo del codice, le firme operative e l'uso della lingua sono tutti in linea con la cultura criminale informatica dell'Europa orientale.
Qilin/Agenda era inizialmente implementato in Golang; le versioni successive sono state osservate in Rust e in strumenti aggiornati. Il payload del ransomware e il pannello di affiliazione sono personalizzabili (ad esempio, gli affiliati possono selezionare quali tipi di file o directory saltare, le modalità di crittografia, i processi da uccidere e così via). Il gruppo ha migliorato le sue offerte nel corso del tempo, aggiungendo funzionalità al suo sito/blog di leak, componenti di "assistenza legale" per gli affiliati, negoziazione automatizzata, funzionalità DDoS e supporto per lo spam.
Paesi presi di mira da Qilin
Le operazioni del gruppo sono globali, con vittime in Nord America, Europa, Asia, America Latina e altro ancora.
Nelmaggio 2023, il sito di Qilin ha registrato vittime in Australia, Brasile, Canada, Colombia, Francia, Paesi Bassi, Serbia, Regno Unito, Giappone e Stati Uniti.
Moltiattacchi evitano la CSI / gli Stati ex sovietici, in linea con le regole interne del gruppo.
Industrie prese di mira da Qilin
- Servizi sanitari e medici: Qilin ha ripetutamente preso di mira fornitori di servizi medici, servizi diagnostici e laboratori di analisi del sangue, che hanno un valore elevato a causa dei dati critici e della sensibilità operativa.
- Produzione e industria: impianti di produzione attaccati e produttori di parti.
- Edilizia, ingegneria, infrastrutture: attaccati diversi rapporti di società di consulenza edilizia e di imprese rilevanti.
- Tecnologia, software, servizi IT: grazie alla loro connettività e all'accesso ad altre reti.
- Finanza, servizi professionali: occasionalmente presi di mira, soprattutto quando sono disponibili dati sensibili o dati dei clienti.
- Beni di consumo/ beni industriali: il recente attacco rivendicato al gruppo Asahi (Giappone, bevande/birra) è un esempio di espansione a grandi conglomerati.
Le vittime di Qilin
Qilin ha violato più di 895 vittime in tutto il mondo.
Metodo di attacco di Qilin
Utilizzo di servizi remoti esposti (ad esempio RDP, VPN), sfruttamento di applicazioni pubbliche / vulnerabilità software, campagne phishing / phishing e talvolta utilizzo di dispositivi FortiGate esposti.
Utilizzo di account/credenziali validi (acquistati, rubati o lateral traversal), furto di token/impersonificazione, iniezione di processi, eventuale sfruttamento di vulnerabilità nel software o nel sistema operativo.
Eliminazione dei registri / cancellazione dei registri degli eventi di sistema, disabilitazione o terminazione dei servizi di sicurezza/antivirus, offuscamento dell'esecuzione, selezione di quali directory/file saltare per evitare il rilevamento, thread di pulizia periodici.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento degli archivi di configurazione del software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni, dei controller di dominio, scoperta dei percorsi di routing, mappatura dei file server e dei data store.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; pivoting tramite SMB, RPC, esecuzione di comandi remoti; diffusione a sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad es. database, documenti, file sensibili), staging dei bundle di esfiltrazione, compressione/crittografia dei dati di esfiltrazione.
Distribuzione del payload del ransomware. Spesso viene eseguito tramite riga di comando con parametri, utilizzo di un eseguibile personalizzato (ad esempio "w.exe"), eventualmente sfruttando il backup o l'infrastruttura VM per propagare la crittografia.
Caricamento dei dati rubati su server controllati dall'aggressore, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali criptati o strumenti proxy, eventualmente tramite catene di malware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di note di riscatto, minacce di fuga di dati pubblici, negazione dell'accesso ai sistemi.
Utilizzo di servizi remoti esposti (ad esempio RDP, VPN), sfruttamento di applicazioni pubbliche / vulnerabilità software, campagne phishing / phishing e talvolta utilizzo di dispositivi FortiGate esposti.
Utilizzo di account/credenziali validi (acquistati, rubati o lateral traversal), furto di token/impersonificazione, iniezione di processi, eventuale sfruttamento di vulnerabilità nel software o nel sistema operativo.
Eliminazione dei registri / cancellazione dei registri degli eventi di sistema, disabilitazione o terminazione dei servizi di sicurezza/antivirus, offuscamento dell'esecuzione, selezione di quali directory/file saltare per evitare il rilevamento, thread di pulizia periodici.
Estrazione delle credenziali dalla memoria, LSASS, dumping delle credenziali, riutilizzo delle credenziali trapelate o sfruttamento degli archivi di configurazione del software di backup.
Ricognizione della rete e degli host, identificazione delle condivisioni, dei controller di dominio, scoperta dei percorsi di routing, mappatura dei file server e dei data store.
Utilizzo di credenziali valide o servizi remoti, replica attraverso la rete; pivoting tramite SMB, RPC, esecuzione di comandi remoti; diffusione a sistemi di alto valore e server di backup.
Aggregazione dei dati di interesse (ad es. database, documenti, file sensibili), staging dei bundle di esfiltrazione, compressione/crittografia dei dati di esfiltrazione.
Distribuzione del payload del ransomware. Spesso viene eseguito tramite riga di comando con parametri, utilizzo di un eseguibile personalizzato (ad esempio "w.exe"), eventualmente sfruttando il backup o l'infrastruttura VM per propagare la crittografia.
Caricamento dei dati rubati su server controllati dall'aggressore, spesso prima della crittografia (modello di doppia estorsione). Utilizzo di canali criptati o strumenti proxy, eventualmente tramite catene di malware .
Crittografia dei dati sui sistemi delle vittime (in molti casi crittografia ibrida AES-256 + RSA-2048), cancellazione dei backup, visualizzazione di note di riscatto, minacce di fuga di dati pubblici, negazione dell'accesso ai sistemi.
TTP utilizzati da Qilin
Come rilevare Qilin con Vectra AI
DOMANDE FREQUENTI
Qual è il motivo principale di Qilin?
Qilin è motivato finanziariamente. Le sue operazioni ruotano attorno all'estorsione tramite ransomware (crittografia + fuga di notizie). Non c'è alcun messaggio ideologico o politico evidente nei loro siti o campagne di fuga di notizie pubbliche.
Come fa Qilin a garantire che gli affiliati rispettino le regole (ad esempio, che non attacchino le regioni della CSI)?
Il binario del ransomware può includere un kill switch basato sulla lingua per impedire l'esecuzione in località russe o dell'Europa orientale. Inoltre, applicano politiche nei loro accordi di affiliazione (ad esempio, non consentono di prendere di mira entità della CSI/Russia).
Qilin può essere rilevato o bloccato dai moderni sistemi EDR / XDR?
Molti fornitori di sicurezza affermano che i loro strumenti sono in grado di rilevare il comportamento di Qilin/Agenda, ma il rilevamento è difficile a causa della personalizzazione, dell'offuscamento e delle tattiche di pulizia dei registri utilizzate da Qilin e affiliati. Pertanto, sono fondamentali endpoint robusti, rilevamento delle anomalie, segmentazione della rete e monitoraggio della sicurezza.
Quali sono i buoni indicatori precoci o CIO per l'infiltrazione di Qilin?
Alcuni indicatori utili sono:
- Connessioni esterne insolite a host rari o nuovi (in particolare domini .ru o TLD rari).
- Tentativi improvvisidi accesso o di enumerazione dei controller di backup o di dominio.
- Esecuzione di file binari sconosciuti o rinominati (ad esempio "w.exe") con argomenti della riga di comando.
- Cancellazione/ cancellazione dei registri degli eventi di sistema.
- Utilizzodi proxy o malware SOCKS (ad esempio SystemBC) per il tunnel del traffico.
- Attività di scansione o di movimento laterale insolite nella rete.
Come devono prepararsi le organizzazioni per resistere a un attacco Qilin?
Alcune strategie di difesa includono:
- Autenticazione forte e igiene delle credenziali (multi-fattore, least privilege, credential vaulting).
- Patching e gestione delle vulnerabilità (soprattutto per le applicazioni rivolte al pubblico, il software di backup e le VPN).
- Segmentazione della rete e isolamento dei sistemi critici (in particolare i backup).
- Monitoraggio di comportamenti anomali (connessioni insolite, scansioni, nuovi binari).
- Backup frequenti e immutabili (comprese le copie fuori rete e con air-gapping).
- Pianificazione ed esercitazioni di risposta agli incidenti (comprese le esercitazioni su tavolo).
- Utilizzo di una soluzione di rilevamento e risposta alle minacce con rilevamento basato sul comportamento piuttosto che affidarsi esclusivamente alle firme.
- L'intelligence e la caccia alle minacce si sono concentrate sugli indicatori degli affiliati a Qilin.
Qual è la tempistica di un tipico attacco Qilin, dalla compromissione all'impatto?
Sebbene le tempistiche varino a seconda della vittima e dell'affiliato, lo schema spesso prevede: compromissione iniziale (tramite RDP / exploit / phishing), movimento laterale e ricognizione nell'arco di ore o giorni, esfiltrazione di dati sensibili, quindi rapida crittografia dei sistemi, seguita da richieste di riscatto. Alcune campagne implementano la crittografia entro poche ore dalla compromissione, soprattutto quando l'automazione è elevata.
Le vittime possono negoziare o pagare Qilin in modo sicuro?
La negoziazione è comune nei ransomware, incluso Qilin. Tuttavia, pagare comporta dei rischi: mancata consegna delle chiavi di decrittazione, ulteriore estorsione, fuga di notizie nonostante il pagamento o ulteriore compromissione. Alcuni affiliati o operatori possono onorare gli accordi, ma non c'è alcuna garanzia. Le vittime devono valutare attentamente i rischi legali, reputazionali e operativi e, idealmente, rivolgersi a consulenti legali e di risposta agli incidenti esperti.
È disponibile un decriptatore pubblico per Qilin / Agenda?
Tra le fonti aperte attualmente pubblicate, non è noto alcun decriptatore pubblico in grado di decifrare in modo affidabile i dati crittografati da Qilin senza alcun pagamento.
Come si colloca Qilin rispetto ad altri gruppi di ransomware (ad esempio LockBit, Black Basta)?
Qilin è unica per l'alto grado di flessibilità degli affiliati, per le caratteristiche promozionali (ad esempio, il "call lawyer" nel pannello) e per la rapida crescita. Ha assorbito gli affiliati che hanno perso il posto a causa delle interruzioni di altre operazioni RaaS (ad esempio, dopo le interruzioni di LockBit). Tende a un targeting opportunistico piuttosto che a operazioni altamente personalizzate a livello statale.
Quali sono i segnali di allarme (bandiere rosse) nelle informazioni sulle minacce o nelle chiacchiere del dark web?
- Messaggi di reclutamento di affiliati per Qilin sui forum clandestini.
- Nuovi post sul blog o fughe di notizie sulle vittime pubblicate su un sito di fughe di notizie di Qilin.
- Nuove versioni dei binari del ransomware Qilin (ad esempio in Rust) che compaiono nei repository malware .
- Rapporti pubblici di campagne Qilin su larga scala o rivendicazioni di decine o centinaia di vittime.