Qilin Ransomware (Agenda): A Deep Dive

Qlin RANSOMWARE, auch bekannt als Agenda RANSOMWARE, ist ein populäres RaaS-Unternehmen (RANSOMWARE-as-a-Service), das seine Technologie an Partner verkauft und es ihnen ermöglicht, ihre eigenen Angriffe zu starten. Die mit dem RaaS-Unternehmen verbundenen Partner sind dafür bekannt, doppelte Erpressungstaktiken mit Ransomware anzuwenden. Durch die Verschlüsselung und Exfiltration von Daten drohen Partnerunternehmen mit der Weitergabe sensibler Informationen, um bei der Zahlungseintreibung Druck auszuüben.

Mit in den Programmiersprachen Golang und Rust geschriebenen Beispielen ist Qilin Ransomware in der Lage, plattformübergreifende Angriffe durchzuführen und ist dafür bekannt, hochkarätige Opfer ins Visier zu nehmen. Die Qilin/Agenda-Ransomware-Variante hat sich zu einer der aktivsten Operationen weltweit entwickelt.

Organisationen müssen diese wachsende Ransomware-Bedrohung sowie die Sicherheitsmaßnahmen und bewährten Verfahren verstehen, die ihre Auswirkungen mindern können.

Anit-Ransomware 2025 Ransomware Report

Das Auftauchen von Qilin/Agenda-Ransomware

Die ersten Fälle von Qilin-Ransomware wurden im Jahr 2022 entdeckt, als die Gruppe begann, durchgesickerte Daten auf ihrer Dedicated Leak Site (DLS) zu veröffentlichen. Die ersten Beiträge auf der Website wurden unter dem Namen „Agenda“ veröffentlicht, wodurch die Golang-Ransomware ihren ursprünglichen Namen erhielt, der auch heute noch weit verbreitet ist.

Qilin Ransomware zielt hauptsächlich auf Windows-Systeme ab, obwohl auch Linux-Varianten identifiziert wurden, die VMware ESXi-Server ins Visier nehmen.

Bis September 2022 hatte sich die RANSOMWARE in Qilin umbenannt, nach einem Wesen aus der chinesischen Mythologie. Bei den Angriffen der RANSOMWARE-Ableger der Gruppe geht es tendenziell nicht um Organisationen in der Gemeinschaft Unabhängiger Staaten (GUS), was auf einen möglichen russischen Bedrohungsakteur hindeutet.

RANSOMWARE-Partner

Die Rekrutierung von RANSOMWARE-Mitgliedern über Hackerforen wurde erstmals Ende 2023 beobachtet.

Der RaaS-Betrieb stellt Partnern alle Werkzeuge und die Infrastruktur zur Verfügung, die für die Durchführung von Angriffen erforderlich sind. Im Gegenzug erhält die Qilin RaaS -Gruppe 15-20% der gezahlten Lösegelder.

Im Juni 2024 forderte die Qilin-Ransomware ihr größtes Opfer: Synnovis, ein in Großbritannien ansässiges Medizintechnikunternehmen, das für die Bereitstellung von Diagnose- und Pathologiedienstleistungen für mehrere Londoner Krankenhäuser bekannt ist. Bei dem Qilin-Angriff wurde ein Lösegeld von 50 Millionen Dollar gefordert, um die Veröffentlichung von etwa 400 GB an Gesundheitsdaten zu verhindern.

Dieser Angriff verdeutlichte die Leistungsfähigkeit von Qilin, und der RaaS-Betrieb hat sich seitdem nur noch weiterentwickelt.

Ergebnisse des Berichts zum Stand der Cybersicherheit

Der Bericht „ State of Cybersicherheit 2025 “ analysierte DLS-Systeme und stellte fest, dass Qilin im November 2024 für 5 % der Opfer verantwortlich war.

Wichtig ist zu beachten, dass diese Daten nicht die tatsächliche Aktivität messen, da Opfer, die das Lösegeld zahlen, nicht in der DLS einer RANSOMWARE-Gruppe erscheinen. Qilin Ransomware erlebte jedoch im Jahr 2025 einen weiteren Aufschwung aufgrund der Zerschlagung beliebter RaaS-Gruppen, insbesondere von RansomHub.

Qilin-Ransomware-Infektionsvektoren: Phishing, RMM und VPN

Hier sind die gängigsten Verbreitungsmethoden der Qilin-Ransomware, um Zugang zum Netzwerk eines Ziels zu erlangen:

  • Phishing E-Mails und gezieltere Spear-Phishing-Kampagnen, die die Opfer dazu verleiten, auf einen schädlichen Link zu klicken.
  • Ausnutzung offengelegter Anwendungen und Schnittstellen als Einstiegspunkt. Gängige Beispiele sind Citrix und das Remote Desktop Protocol (RDP).
  • Infostealer -Malware, die es auf Google Chrome abgesehen hat.
  • Zugriff auf das virtuelle private Netzwerk (VPN) einer Organisation über kompromittierte Konten.

Sobald die Qilin-Ransomware einen ersten Zugriff erlangt hat, beginnt sie, sich lateral auszubreiten, um auf neue Systeme zuzugreifen und sensible Daten zu verschlüsseln und zu exfiltrieren.

Während dieses Prozesses werden häufig Tools für die Fernüberwachung und -verwaltung (RMM) eingesetzt, während Cobalt Strike regelmäßig die Binärdatei bereitstellt. Die Ransomware-Datei kann sich über PsExec- und Secure Shell (SSH)-Tools verbreiten, und anfällige Systemtreiber werden ausgenutzt, um die Abwehrmechanismen zu umgehen.

Qilin RANSOMWARE-Fähigkeiten: Verschlüsselungs- und Umgehungstechniken

Qilin-Mitglieder sind dafür bekannt, doppelte Erpressungs-Ransomware einzusetzen.

Dies bedeutet, die Daten des Opfers zu verschlüsseln, um den Betrieb zu stören, und gleichzeitig damit zu drohen, sensible Informationen auf dessen DLS, das über Tor gehostet wird, zu veröffentlichen. Ransomware, die auf doppelter Erpressung basiert, zielt darauf ab, zusätzlichen Druck auf das Opfer auszuüben und die Wahrscheinlichkeit des Erhalts eines Lösegelds zu erhöhen.

Die Kommunikation und die Zahlungen sind darauf ausgelegt, die Identität des RANSOMWARE-Partners zu schützen und die Strafverfolgungsbehörden an Ermittlungen gegen Qilin zu hindern. Dies umfasst:

  • Die Nutzung von Darknet-Portalen oder verschlüsselten Messaging-Apps zur Kommunikation
  • Die Lösegelder werden über Kryptowährung gezahlt.

Als hochentwickeltes RaaS-Unternehmen können Qilin RANSOMWARE-Partner ihre eigenen Varianten entwickeln und die Funktionen an ihre Ziele anpassen. Dies umfasst die Konfiguration verschiedener Einstellungen für Verschlüsselung und Umgehung.

Typische verwendete Verschlüsselungsalgorithmen sind:

  • ChaCha20
  • AES
  • RSA-4096

Die Verschlüsselung wird über verschiedene, vom Betreiber kontrollierte Modi eingesetzt. Dazu gehören normal, Schritt-überspringen, schnell und prozentual.

Jeder Modus ermöglicht es dem RANSOMWARE-Partner, seinen Angriff so anzupassen, dass entweder die Geschwindigkeit oder die Vollständigkeit im Vordergrund steht. Partner können auch die Dateinamenerweiterung der verschlüsselten Dateien auswählen. Die Analyse zeigt, dass jedem Opfer eine eindeutige Firmen-ID-Erweiterung zu den verschlüsselten Dateien hinzugefügt wurde.

Affiliate-Partner können verschiedene Dateitypen innerhalb der Systeme des Opfers ins Visier nehmen, wie zum Beispiel:

  • Unterlagen
  • Bilder
  • Databases

Es stehen auch Techniken zur Codeverschleierung und -umgehung zur Verfügung, darunter die Verschlüsselung von Zeichenketten, die Umbenennung von Funktionen und die Änderung von Kontrollflüssen. Qilin wird als vielseitige, unauffällige und einfach zu bedienende Ransomware vermarktet. Die Konfigurationseinstellungen werden alle über das Partner-Panel vorgenommen, um die Anpassung der zugrunde liegenden Technologie an verschiedene Angriffe zu vereinfachen.

Die Qilin.B-Variante

Eine bemerkenswerte Variante, die erstmals im Jahr 2024 beobachtet wurde und die Fähigkeiten der Ransomware erweitert, ist Qilin.B. Diese Variante bietet verbesserte Verschlüsselungs- und Umgehungstechniken.

Es bietet eine Reihe unterschiedlicher Verschlüsselungstechniken, die auf verschiedene Systeme zugeschnitten sind.

(Dadurch ist es unmöglich, ohne den privaten Schlüssel auf kompromittierte Daten zuzugreifen.)

Die Rust-Ransomware Qilin.B behindert den Schutz, indem sie Dienste beendet, die mit Sicherheitstools verbunden sind, und Windows-Ereignisprotokolle löscht. Es löscht sich nach dem Angriff auch selbst, um eine Analyse durch Reverse Engineering der Nutzlast zu verhindern.

Schließlich löscht Qilin.B auch Volumeschattenkopien, um die Wiederherstellungsbemühungen zu erschweren.

Zielbranchen

Da es sich bei Qilin um ein RaaS-Unternehmen handelt, werden die Ziele von RANSOMWARE-Partnern ausgewählt, nicht von der Gruppe, die hinter der Technologie steht. Typische Ziele sind größere Organisationen mit wertvollen Daten, um höhere Lösegelder zu erpressen. Dies führt zu Branchen, die bei Ransomware-Akteuren beliebt sind, wie zum Beispiel:

  • Gesundheitswesen
  • Bildung

Wie bereits erwähnt, war Qilins bekanntester Angriff der Angriff auf die in Großbritannien ansässige Gesundheitsorganisation Synnovis.

Dieser Ransomware-Angriff führte zu erheblichen Störungen in mehreren Krankenhäusern, wodurch über 6.000 Termine und Eingriffe abgesagt werden mussten und es zu einem Mangel an Blutspenden kam.

Zu den weiteren Opfern der Qilin-Gesundheits-Ransomware gehören:

  • Kinderorthopädie in Zentraltexas
  • Next Step Healthcare in Massachusetts
  • Der Health Trust in Kalifornien

Ransomware-Angriffe im Gesundheitswesen sind besonders häufig, da diese Organisationen lebenswichtige Dienstleistungen erbringen, die auf sensiblen Patientendaten basieren, aber oft auch nur über begrenzte Budgets und Expertise im Bereich Cybersicherheit verfügen.

Obwohl Ransomware-Angriffe auf Bildungs- und Gesundheitseinrichtungen häufiger bei Qilin-Mitgliedern vorkommen, scheinen die Angriffe im Allgemeinen eher opportunistisch als gezielt zu sein, mit Ausnahme des bemerkenswerten Fehlens von Angriffen auf die GUS.

Zu den weiteren prominenten Opfern von Qilin gehören die britische Straßenzeitung The Big Issue, der Automobilhersteller Yanfeng und der australische Gerichtsdienst.

Aktuelle Taktiken: Fortinet-Schwachstellen und Rechtsberatung für verbundene Unternehmen

Zu den jüngsten Taktiken, die von Qilin-Tochtergesellschaften angewendet werden, gehören Fortinet-Schwarzstellen-Ransomware-Angriffe, die auf die Firewall des Unternehmens abzielen.

Konkret nutzen diese Angriffe zwei kritische Fortinet-Schwachstellen aus:

  • CVE-2024-21762: Schwachstelle außerhalb des zulässigen Schreibbereichs, die aus der Ferne Befehle ausführen kann.
  • CVE-2024-55591: Schwachstelle bei der Authentifizierungsumgehung für die Rechteausweitung.

Beide Schwachstellen betreffen FortiOS/FortiProxy SSL VPN Gerät. Anfänglich zielten diese Fortinet Schwachstelle Ransomware-Angriffe auf Organisationen in spanischsprachigen Ländern ab. Es wird jedoch erwartet, dass sie sich auf andere Regionen ausbreiten.

Die Qilin-Gruppe automatisiert die Fortinet-Schwachstellen-Angriffe, und die angeschlossenen Unternehmen müssen nur noch ihr Ziel auswählen, um einen Angriff zu starten.

Eine weitere Neuerung ist das Qilin RaaS-Panel, das Partnern Rechtsberatung mit der neuen Funktion „Anwalt anrufen“ bietet. Dies soll den Druck auf die Opfer weiter erhöhen, indem ihnen Zugang zu Anwälten verschafft wird, die bei den Lösegeldverhandlungen helfen.

Affiliate-Partner können erfahren, welche genauen Vorschriften ihre Opfer durch das Zulassen des Angriffs verletzt haben, und erhalten eine Expertenbewertung der potenziellen Kosten, die ihnen entstehen, wenn sie das Lösegeld nicht zahlen.

Strategien zur Erkennung, Schadensbegrenzung und Prävention

Während die Qilin Ransomware den angeschlossenen Unternehmen umfangreiche Möglichkeiten bietet, sind Organisationen mit ausgereiften Cybersicherheitsstrategien gut aufgestellt, um Angriffe zu erkennen, abzuschwächen und zu verhindern.

Zu den bewährten Verfahren und Sicherheitsmaßnahmen, die das Risiko von Ransomware-Angriffen verringern, gehören:

  • Sichere Datensicherung Ihrer sensibelsten Daten mithilfe einer isolierten, externen Infrastruktur.
  • Die Implementierung geeigneter Patch-Management-Prozesse gewährleistet, dass Sie stets die aktuellste und sicherste Software verwenden.
  • Überwachung des Netzwerkverkehrs auf verdächtige Aktivitäten, die über den normalen Betriebsablauf hinausgehen.
  • Implementierung robuster Authentifizierungsverfahren basierend auf starken, eindeutigen Passwörtern und mehrstufiger Authentifizierung (MFA).
  • Segmentieren Sie Ihr Netzwerk, um die seitliche Ausbreitung nach dem ersten unberechtigten Zugriff einzuschränken.
  • Schulung der Mitarbeiter im Umgang mit den gängigsten Ransomware-Verbreitungsmethoden, z. B. im Erkennen von Phishing-E-Mails.
  • Verschlüsseln Sie sensible Daten bereits im Ruhezustand, wenn sie auf Ihren Systemen gespeichert sind, und nicht nur während der Übertragung.
  • Identifizierung des besten Anti-RANSOMWARE-Sicherheitstools auf dem Markt, das umfassenden Schutz bietet, um Bedrohungen wie Qilin fernzuhalten.

Ransomware-Schutz mit Check Point

Check Point Endpoint Security von Check Point ist eine umfassende Anti-RANSOMWARE-Lösung , die selbst die ausgefeiltesten Angriffe stoppt. Umfangreiche Endgerätesicherheitskontrollen verhindern den unbefugten Zugriff auf Ihr Netzwerk, und automatisierte Wiederherstellungstools minimieren die Auswirkungen potenzieller Sicherheitsverletzungen.

Check Point Endpoint Security bietet Ihnen alles, was Sie zum Schutz Ihres Unternehmens vor Qilin und anderen RANSOMWARE-Bedrohungen benötigen – in einer kostengünstigen Komplettlösung.

Fordern Sie noch heute eine personalisierte, kostenlose Demo an und entdecken Sie, wie sie genau auf Ihre Bedürfnisse zugeschnitten werden kann.

Loslegen

Check Point Endpoint Security

Der CISO-Leitfaden zur Ransomware-Prävention

Cybersicherheitsbericht

Schutz vor Ransomware

Verwandte Themen

Beseitigung von Ransomware

Ransomware-Wiederherstellung

Locker-Ransomware

Dreifache Erpressung Ransomware

Akira Ransomware