Qilin Ransomware (Agenda): A Deep Dive

Qlin Ransomware, noto anche come Agenda Ransomware, è una popolare operazione RaaS (Ransomware-as-a-Service) che vende la propria tecnologia agli affiliati – permettendo loro di lanciare i propri attacchi. Gli affiliati che collaborano con l'operazione RaaS sono noti per utilizzare tattiche di doppia estorsione tramite ransomware. Criptando ed estraendo dati, gli affiliati minacciano di far trapelare informazioni sensibili per esercitare pressione quando richiedono il pagamento.

Con esempi scritti sia nei linguaggi di programmazione Golang che Rust, Qilin Ransomware è capace di attacchi multipiattaforma ed è noto per colpire vittime di alto valore. La variante Qilin/Agenda Ransomware si è evoluta fino a diventare una delle operazioni più attive a livello mondiale.

Le organizzazioni devono comprendere questa crescente minaccia ransomware , così come i controlli di sicurezza e le migliori pratiche che possono mitigarne l'impatto.

Anti-ransomware 2025 Ransomware Report

Il Qilin/Agenda Ransomware Emergere

I primi episodi di ransomware Qilin sono stati rilevati nel 2022, quando il gruppo ha iniziato a pubblicare dati trapepati sul proprio Dedicated Leak Site (DLS). I primi post sul sito sono stati pubblicati con il nome "Agenda", dando al ransomware Golang il suo nome originale, ancora comunemente utilizzato.

Qilin Ransomware prende di mira principalmente i sistemi Windows, anche se sono state identificate varianti Linux che prendono di mira i server VMware ESXi.

A settembre 2022, il ransomware si era rinominato Qilin, in onore di una creatura della mitologia cinese. Gli attacchi delle affiliate ransomware del gruppo tendono a evitare di colpire organizzazioni nella Comunità degli Stati Indipendenti (CSI), indicando un possibile attore minaccioso russo.

Ransomware Affiliato

Il reclutamento di affiliati ransomware su forum di hacking è stato osservato per la prima volta alla fine del 2023.

L'operazione RaaS fornisce agli affiliati tutti gli strumenti e l'infrastruttura necessari per lanciare attacchi. In cambio, il gruppo RaaS Qilin riceve il 15-20% dei riscatti pagati.

Nel giugno 2024, Qilin Ransomware ha rivendicato la sua vittima più grande, Synnovis, un'azienda medica britannica nota per fornire servizi diagnostici e patologici a diversi ospedali di Londra. L'attacco a Qilin ha richiesto un riscatto di 50 milioni di dollari per impedire il rilascio di circa 400GB di dati sanitari.

Questo attacco ha messo in evidenza le capacità di Qilin, e l'operazione RaaS è cresciuta da allora.

Risultati del rapporto sullo stato di Cyber Security

Analizzando i DLS, il rapporto Stato della Cyber Security 2025 ha rilevato che Qilin rappresentava il 5% delle vittime a novembre 2024.

È importante ricordare che questi dati non misurano l'attività reale, poiché le vittime che pagano il riscatto non compaiono nel DLS di un gruppo ransomware. Tuttavia, Qilin Ransomware ha subito un altro aumento nel 2025 a causa della disgregazione dei gruppi RaaS popolari, in particolare RansomHub.

Vettori di infezione Qilin Ransomware : phishing, RMM e VPN

Ecco i metodi di distribuzione ransomware Qilin più comuni per stabilire l'accesso al rete di un bersaglio:

  • Le email di phishing e campagne di phishing più mirate di Spear che indirizzano le vittime a cliccare su un link malevolo.
  • Sfruttando Applicazioni e interfacce esposte come punto di ingresso. Esempi comuni includono Citrix e il Remote Desktop Protocol (RDP).
  • Malware infostealer che prende di mira Google Chrome.
  • Accesso alla rete privata virtuale (VPN) di un'organizzazione tramite account compromessi.

Una volta che il ransomware Qilin ottiene l'accesso iniziale, inizia a muoversi lateralmente per accedere a nuovi sistemi alla ricerca di dati sensibili da criptare ed esfiltrare.

Durante questo processo vengono spesso utilizzati strumenti di monitoraggio e gestione remota (RMM), mentre Cobalt Strike distribuisce regolarmente il binario. L'eseguibile ransomware può propagarsi attraverso strumenti PsExec e Secure Shell (SSH), e i driver di sistema vulnerabili vengono sfruttati per eludere le difese.

Capacità Ransomware Qilin: Crittografia e Tecniche di Evasione

Gli affiliati Qilin sono noti per l'utilizzo del ransomware a doppia estorsione.

Ciò significa criptare i dati della vittima per interrompere le operazioni minacciando contemporaneamente di inviare informazioni sensibili al suo DLS ospitato su Tor. Ransomware l'uso delle tecniche di doppia estorsione mira a esercitare ulteriore pressione sulla vittima e ad aumentare la probabilità di ottenere un riscatto.

La comunicazione e i pagamenti sono progettati per proteggere l'identità dell'affiliato ransomware e ostacolare le forze dell'ordine dall'indagare su Qilin. Questo include:

  • L'uso di portali del dark web o app di messaggistica criptate per la comunicazione
  • I riscatti vengono pagati tramite criptovalute

Come operazione RaaS sofisticata, gli affiliati ransomware Qilin possono sviluppare le proprie varianti e adattare le capacità ai loro obiettivi. Questo include la configurazione di varie impostazioni per Crittografia ed evasion.

Gli algoritmi tipici di Crittografia utilizzati sono:

  • ChaCha20
  • AES
  • RSA-4096

Crittografia viene implementata tramite varie modalità controllate dall'operatore. Questi includono normale, salto di passi, rapido e percentuale.

Ogni modalità permette all'affiliato ransomware di adattare il proprio attacco per dare priorità alla velocità o alla completezza. Gli affiliati possono anche scegliere l'estensione del nome file dei file criptati. L'analisi mostra che ogni vittima ha un'estensione unica dell'ID aziendale aggiunta ai file criptati.

Gli affiliati possono mirare a una gamma di tipi di file all'interno dei sistemi della vittima, ad esempio:

  • Documenti
  • Immagini
  • Databases

Sono disponibili anche tecniche di offuscamento e evasione del codice, tra cui la crittografia delle stringhe, il rinominamento delle funzioni e la modifica dei flussi di controllo. Qilin è commercializzato come un ransomware versatile, furtivo e facile da usare. Le impostazioni di configurazione sono tutte effettuate tramite il pannello affiliati per semplificare l'adattamento della tecnologia sottostante a diversi attacchi.

La variante Qilin.B

Una variante notevole, osservata per la prima volta nel 2024, che potenzia le capacità del ransomware è Qilin.B. Questa variante offre tecniche migliorate di Crittografia e di evasiva.

Fornisce una gamma di diverse tecniche di Crittografia adattate a vari sistemi.

(rendendo impossibile accedere ai dati compromessi senza la chiave privata.)

Ransomware Rust, Qilin.B ostacola le protezioni terminando i servizi associati agli strumenti di sicurezza e cancellando i log degli eventi di Windows. Si elimina anche dopo l'attacco per ostacolare l'analisi attraverso il reverse engineering del carico utile.

Infine, Qilin.B elimina le copie ombra dei volumi per rendere più difficili i lavori di recupero.

Industrie target

In quanto operazione RaaS, i bersagli di Qilin sono scelti dagli affiliati del ransomware, non dal gruppo dietro la tecnologia. I bersagli tipici sono organizzazioni più grandi con dati di alto valore per estorcere riscatti più elevati. Questo porta alle industrie più popolari tra gli attori del ransomware, come:

  • Sanità
  • Istruzione

Come discusso in precedenza, l'attacco più famoso di Qilin è stato contro l'organizzazione sanitaria britannica Synnovis.

Questo attacco ransomware ha causato gravi interruzioni in diversi ospedali, causando la cancellazione di oltre 6.000 appuntamenti e procedure e la carenza di donazioni di sangue.

Altre vittime del ransomware nel settore sanitario Qilin includono:

  • Ortopedia Pediatrica del Texas Centrale
  • Prossimo passo Assistenza sanitaria in Massachusetts
  • Il Trust Salutare in California

Gli attacchi ransomware nel settore sanitario sono particolarmente comuni, poiché queste organizzazioni gestiscono servizi vitali che si basano su dati sensibili dei pazienti, ma spesso hanno anche budget limitati e competenze in cybersecurity.

Sebbene gli attacchi ransomware nell'istruzione e nella sanità siano più comuni tra gli affiliati Qilin, generalmente gli attacchi sembrano più opportunistici che specificamente mirati, eccetto per la notevole assenza di attacchi tra la CIS.

Altre vittime significative di Qilin includono il quotidiano di strada britannico The Big Issue, l'azienda automobilistica Yanfeng e il servizio giudiziario australiano.

Tattiche recenti: Exploit di Fortinet e consulenza legale affiliata

Le tattiche recenti impiegate dagli affiliati Qilin includono attacchi ransomware Fortinet vulnerabilità che prendono di mira il firewall dell'azienda.

In particolare, questi attacchi sfruttano due vulnerabilità critiche di Fortinet:

  • CVE-2024-21762: Out-of-bounds scrive vulnerabilità che può eseguire comandi da remoto.
  • CVE-2024-55591: Autenticazione bypass vulnerabilità per l'escalation dei privilegi.

Entrambe queste vulnerabilità riguardano FortiOS/ FortiProxy SSL VPN Dispositivi. Inizialmente, questi attacchi ransomware di vulnerabilità Fortinet miravano organizzazioni nei paesi di lingua spagnola. Tuttavia, si prevede che si diffonderanno anche in altre regioni.

Il gruppo Qilin sta automatizzando gli attacchi di vulnerabilità di Fortinet, e gli affiliati devono solo selezionare il loro bersaglio per lanciarne uno.

Un altro aggiornamento recente è il panel Qilin RaaS che offre consulenza legale agli affiliati con una nuova funzione "Call Lawyer". Questo è volto ad aumentare ulteriormente la pressione sulle vittime fornendo accesso ad avvocati per aiutare nelle trattative del riscatto.

Gli affiliati possono conoscere le esatte regole che le loro vittime hanno violato permettendo l'attacco e ricevere una valutazione esperta sui potenziali costi per loro se non pagano il riscatto.

Strategie di Rilevamento, Mitigazione e Prevenzione

Sebbene il Qilin Ransomware offra agli affiliati ampie capacità, le organizzazioni con strategie di cybersecurity mature sono ben posizionate per rilevare, mitigare e prevenire attacchi.

Le migliori pratiche e i controlli di sicurezza che riducono il rischio di attacchi ransomware includono:

  • Fare il backup sicuro dei dati più sensibili utilizzando infrastrutture isolate e esterne.
  • Implementare processi adeguati di gestione delle patch che garantiscano di eseguire il software più aggiornato e sicuro.
  • Monitoraggio del traffico di rete per attività sospette oltre le operazioni normali.
  • Implementazione di procedure di autenticazione robuste basate su password forti e uniche e Autenticazione multifattore (MFA).
  • Segmentare la rete per limitare i movimenti laterali dopo un accesso iniziale non autorizzato.
  • Formare il personale a comprendere i metodi di distribuzione ransomware più comunemente utilizzati, come l'identificazione dellephishing email.
  • Crittografia dei dati sensibili a riposo quando sono memorizzati sui tuoi sistemi, non solo durante il trasporto.
  • Identificare il miglior strumento di sicurezza anti-ransomware sul mercato che offra una protezione completa per tenere lontane minacce come Qilin.

Protezione contro i ransomware con Check Point

Check Point Endpoint Security di Check Point è una soluzione completa anti-Ransomware che blocca anche gli attacchi più sofisticati. Controlli estesi di Sicurezza degli Endpoint negano l'accesso non autorizzato al tuo rete, e gli strumenti di recupero automatico minimizzano l'impatto di potenziali violazioni.

Check Point Endpoint Security offre tutto ciò di cui hai bisogno per proteggere la tua organizzazione da Qilin e da altre minacce ransomware in una soluzione tutto-in-uno ed economica.

Richiedi oggi una Demo personalizzata e gratuita e scopri come può essere adattata per soddisfare esattamente le tue esigenze.

Per iniziare

Check Point Endpoint Security

La guida del CISO alla prevenzione del ransomware

CYBER SECURITY REPORT

Protezione ransomware

Argomenti correlati

Rimozione del ransomware

ransomware Recupero

ransomwarearmadietti

ransomwarea tripla estorsione

Akira Ransomware