Qilin Ransomware (Agenda): A Deep Dive

Qlin logiciel rançonneur, également connu sous le nom d'Agenda logiciel rançonneur, est une opération RaaS (logiciel rançonneur-as-a-Service) populaire qui vend sa technologie à des affiliés, leur permettant ainsi de lancer leurs propres attaques. Les affiliés travaillant avec l'opération RaaS sont connus pour utiliser des tactiques d'extorsion de type logiciel rançonneur double. En cryptant et en exfiltrant des données, les affiliés menacent de divulguer des informations sensibles pour faire pression lorsqu'ils demandent un paiement.

Avec des échantillons écrits dans les langages de programmation Golang et Rust, Qilin logiciel rançonneur est capable d'attaques multiplateformes et est connu pour cibler des victimes de grande valeur. La variante Qilin/Agenda du logiciel rançonneur est devenue l'une des opérations les plus actives au monde.

Les entreprises doivent comprendre cette menace croissante du logiciel rançonneur ainsi que les contrôles de sécurité et les meilleures pratiques qui peuvent en atténuer l'impact.

Antiransomwares 2025 Ransomware Report

L'émergence de Qilin/Agenda logiciel rançonneur

Les premiers cas de Qilin logiciel rançonneur ont été détectés en 2022, lorsque le groupe a commencé à publier des fuites de données sur son Dedicated Leak Site (DLS). Les premiers messages postés sur le site l'ont été sous le nom d'"Agenda", donnant ainsi au logiciel rançonneur Golang son nom d'origine, qui est encore couramment utilisé.

Qilin logiciel rançonneur cible principalement les systèmes Windows, bien que des variantes Linux aient été identifiées qui ciblent les serveurs VMware ESXi.

En septembre 2022, le logiciel rançonneur s'est rebaptisé Qilin, du nom d'une créature de la mythologie chinoise. Les attaques menées par les affiliés du logiciel rançonneur du groupe tendent à éviter de cibler des organisations de la Communauté des États indépendants (CEI), ce qui indique la présence possible d'un acteur russe de la menace.

logiciel rançonneur Affiliate

Le recrutement d'affiliés du logiciel rançonneur sur des forums de piratage a été observé pour la première fois à la fin de l'année 2023.

L'opération RaaS fournit aux affiliés tous les outils et l'infrastructure nécessaires pour lancer des attaques. En retour, le groupe Qilin RaaS reçoit 15 à 20% des rançons payées.

En juin 2024, Qilin logiciel rançonneur a fait sa plus grosse victime, Synnovis, une société médicale basée au Royaume-Uni connue pour fournir des services de diagnostic et de pathologie à plusieurs hôpitaux londoniens. L'attaque Qilin exigeait une rançon de 50 millions de dollars pour empêcher la divulgation d'environ 400 Go de données sur les soins de santé.

Cette attaque a mis en évidence les capacités de Qilin, et l'opération RaaS n'a fait que croître depuis lors.

Conclusions du rapport sur l'état de la cybersécurité

En analysant les DLS, le rapport 2025 sur l'état de la cybersécurité a révélé que Qilin représentait 5% des victimes en novembre 2024.

Il est important de rappeler que ces données ne mesurent pas l'activité réelle, car les victimes qui paient la rançon n'apparaîtront pas sur le DLS d'un groupe de logiciels rançonneurs. Mais Qilin logiciel rançonneur a connu une nouvelle hausse en 2025 en raison de la perturbation de groupes RaaS populaires, en particulier RansomHub.

Qilin logiciel rançonneur Vecteurs d'infection : phishing, RMM et RVP

Voici les méthodes de distribution les plus courantes de Qilin logiciel rançonneur pour établir l'accès au réseau d'une cible :

  • des courriels de phishing et des campagnes spear phishing plus ciblées qui incitent les victimes à cliquer sur un lien malveillant.
  • Exploitation d'applications et d'interfaces exposées comme point d'entrée. Parmi les exemples les plus courants, citons Citrix et le protocole de bureau à distance (RDP).
  • Infostealer logiciel malveillant qui cible Google Chrome.
  • Accès au réseau privé virtuel (RVP) d'une organisation par le biais de comptes compromis.

Une fois que le logiciel rançonneur Qilin a obtenu un accès initial, il commence à se déplacer latéralement pour accéder à de nouveaux systèmes à la recherche de données sensibles à chiffrer et à exfiltrer.

Les outils de surveillance et de gestion à distance (RMM) sont souvent utilisés au cours de ce processus, tandis que Cobalt Strike déploie régulièrement le binaire. L'exécutable du logiciel rançonneur peut se propager via PsExec et les outils Secure Shell (SSH), et les pilotes système vulnérables sont exploités pour échapper aux défenses.

Qilin logiciel rançonneur Capacités : chiffrement et techniques d'évasion

Les affiliés de Qilin sont connus pour utiliser le logiciel rançonneur de double extorsion.

Il s'agit de crypter les données de la victime afin de perturber les opérations tout en menaçant de publier des informations sensibles sur son DLS hébergé sur Tor. Le logiciel rançonneur utilisant les techniques de double extorsion a pour but de mettre une pression supplémentaire sur la victime et d'augmenter la probabilité de recevoir une rançon.

Les communications et les paiements sont destinés à protéger l'identité de l'affilié logiciel rançonneur et à empêcher les autorités chargées de l'application de la loi d'enquêter sur Qilin. Il s'agit notamment de

  • L'utilisation de portails du dark web ou d'applications de messagerie cryptées pour la communication.
  • Les rançons payées en crypto-monnaies

En tant qu'opération RaaS sophistiquée, les affiliés de Qilin logiciel rançonneur peuvent développer leurs propres variantes et adapter les capacités à leurs cibles. Il s'agit notamment de configurer divers paramètres pour le chiffrement et l'évasion.

Les algorithmes de chiffrement typiques utilisés sont les suivants :

  • ChaCha20
  • AES
  • RSA-4096

Le chiffrement est déployé selon différents modes contrôlés par l'opérateur. Il s'agit des options suivantes : normal, pas à pas, rapide et pourcentage.

Chaque mode permet à l'affilié du logiciel rançonneur d'adapter son attaque en privilégiant la rapidité ou l'exhaustivité. Les affiliés peuvent également choisir l'extension des fichiers cryptés. L'analyse montre que chaque victime a une extension unique d'identification de l'entreprise ajoutée aux fichiers cryptés.

Les affiliés peuvent cibler une série de types de fichiers dans les systèmes de la victime, tels que

  • Documents
  • Images
  • Databases

Des techniques d'obscurcissement du code et d'évasion sont également disponibles, notamment le chiffrement des chaînes de caractères, le renommage des fonctions et la modification des flux de contrôle. Qilin est présenté comme un logiciel rançonneur polyvalent, furtif et facile à utiliser. Les paramètres de configuration sont tous effectués via le panneau des affiliés afin de simplifier l'adaptation de la technologie sous-jacente à diverses attaques.

La variante Qilin.B

Une variante notable, observée pour la première fois en 2024, qui améliore les capacités du logiciel rançonneur est Qilin.B. Cette variante offre des techniques de chiffrement et d'évasion améliorées.

Il propose un éventail de techniques de chiffrement adaptées à différents systèmes.

(rendant impossible l'accès aux données compromises sans la clé privée).

Logiciel rançonneur, Qilin.B entrave les protections en mettant fin aux services associés aux outils de sécurité et en effaçant les journaux d'événements de Windows. Il s'efface également après l'attaque pour empêcher l'analyse par rétro-ingénierie de la charge utile.

Enfin, Qilin.B supprime les copies d'ombre des volumes pour compliquer les efforts de récupération.

Industries cibles

En tant qu'opération RaaS, les cibles de Qilin sont choisies par les affiliés du logiciel rançonneur, et non par le groupe à l'origine de la technologie. Les cibles typiques sont les grandes organisations qui possèdent des données de grande valeur, afin d'extorquer des rançons plus élevées. Cela conduit aux industries qui sont populaires parmi les acteurs du logiciel rançonneur, telles que :

  • Santé
  • Éducation

Comme nous l'avons vu précédemment, l'attaque la plus célèbre de Qilin a visé l'organisation de soins de santé Synnovis, basée au Royaume-Uni.

Cette attaque du logiciel rançonneur a entraîné d'importantes perturbations dans plusieurs hôpitaux, provoquant l'annulation de plus de 6 000 rendez-vous et procédures, ainsi qu'une pénurie de dons de sang.

Les autres victimes de Qilin healthcare logiciel rançonneur sont les suivantes :

  • Central Texas Pediatric Orthopedics (en anglais)
  • Next Step Healthcare dans le Massachusetts
  • Le Health Trust en Californie

Les attaques contre le logiciel rançonneur dans le secteur de la santé sont particulièrement fréquentes, car ces organisations gèrent des services vitaux qui reposent sur des données sensibles concernant les patients, mais disposent souvent de budgets et de compétences limités en matière de cybersécurité.

Bien que les attaques contre les logiciels rançonneur dans les domaines de l'éducation et de la santé soient plus fréquentes parmi les affiliés de Qilin, les attaques semblent généralement plus opportunistes que spécifiquement ciblées, à l'exception de l'absence notable d'attaques au sein de la CEI.

Parmi les autres victimes importantes de Qilin figurent le journal de rue britannique The Big Issue, l'entreprise automobile Yanfeng et les services judiciaires australiens.

Tactiques récentes : Exploits Fortinet et conseillers juridiques affiliés

Les tactiques récentes employées par les affiliés de Qilin comprennent des attaques de Fortinet vulnérabilité logiciel rançonneur ciblant le pare-feu de l'entreprise.

Plus précisément, ces attaques exploitent deux vulnérabilités critiques de Fortinet :

  • CVE-2024-21762 : Vulnérabilité d'écriture hors limites permettant d'exécuter des commandes à distance.
  • CVE-2024-55591 : Vulnérabilité du contournement de l'authentification pour l'escalade des privilèges.

Ces deux vulnérabilités affectent l'appareil FortiOS/FortiProxy RVP SSL (protocole SSL). Dans un premier temps, ces attaques Fortinet vulnérabilité logiciel rançonneur visaient les organisations des pays hispanophones. Toutefois, elles devraient s'étendre à d'autres régions.

Le groupe Qilin automatise les attaques de vulnérabilité de Fortinet, et les affiliés n'ont qu'à sélectionner leur cible pour en lancer une.

Autre mise à jour récente, le panel RaaS de Qilin offre aux affiliés des conseils juridiques grâce à une nouvelle fonction "Call Lawyer". Cette mesure vise à accroître la pression sur les victimes en leur donnant accès à des avocats qui les aideront à négocier les rançons.

Les affiliés peuvent connaître les règles exactes que leurs victimes ont enfreintes en autorisant l'attaque et recevoir une évaluation d'expert sur les coûts potentiels qu'ils devront supporter s'ils ne paient pas la rançon.

Détection, atténuation & Stratégies de prévention

Bien que le logiciel rançonneur Qilin offre aux affiliés des capacités étendues, les organisations dotées de stratégies de cybersécurité matures sont bien placées pour détecter, atténuer et prévenir les attaques.

Les meilleures pratiques et les contrôles de sécurité qui réduisent le risque d'attaques du logiciel rançonneur sont les suivants :

  • Sauvegarde sécurisée de vos données les plus sensibles à l'aide d'une infrastructure isolée et hors site.
  • Déployer des processus de gestion des correctifs appropriés qui garantissent que vous utilisez les logiciels les plus récents et les plus sûrs.
  • Surveillance du trafic réseau pour détecter toute activité suspecte en dehors des opérations habituelles.
  • Mettre en œuvre des procédures d'authentification robustes basées sur des mots de passe forts et uniques et une authentification multi-facteurs (MFA).
  • Segmenter votre réseau pour limiter les mouvements latéraux après un premier accès non autorisé.
  • Former le personnel à comprendre les méthodes de distribution du logiciel rançonneur les plus couramment utilisées, comme l'identification des courrielsphishing .
  • Chiffrer les données sensibles au repos lorsqu'elles sont stockées sur vos systèmes, et pas seulement lorsqu'elles sont en transit.
  • Identifier le meilleur outil de sécurité anti-logiciel rançonneur du marché qui offre une protection complète pour tenir à distance les menaces telles que Qilin.

logiciel rançonneur Protection avec Check Point

Check Point Endpoint Security de Check Point est une solution anti-logiciel rançonneur complète qui bloque les attaques les plus sophistiquées. Des contrôles étendus de la sécurité des postes empêchent tout accès non autorisé à votre réseau, et des outils de récupération automatisés minimisent l'impact des violations potentielles.

Check Point Endpoint Security offre tout ce dont vous avez besoin pour protéger votre organisation contre Qilin et d'autres menaces du logiciel rançonneur dans une solution tout-en-un et rentable.

Demandez dès aujourd'hui une démo personnalisée et gratuite et découvrez comment elle peut être adaptée à vos besoins exacts.

Commencez

Check Point Endpoint Security

Le Guide du RSSI sur la prévention des logiciels rançonneurs

RAPPORT SUR LA CYBERSÉCURITÉ

Protection contre les logiciels rançonneurs

Sujets connexes

logiciel rançonneur Removal

logiciel rançonneur Recovery

Locker logiciel rançonneur

Triple Extortion logiciel rançonneur

Akira logiciel rançonneur