Qilin Ransomware (Agenda): A Deep Dive
Agenda ランサムウェアとしても知られる Qlin ランサムウェアは、関連会社にテクノロジを販売し、独自の攻撃を開始できるようにする人気の RaaS (サービスとしてのランサムウェア) 運用です。 RaaS オペレーションに携わる関係者は、ランサムウェアによる二重の恐喝戦術を利用することで知られています。データを暗号化して持ち出すことで、アフィリエイトは支払いを要求する際に機密情報を漏らすと脅し、圧力をかけます。
Qilin ランサムウェアは、Golang と Rust の両方のプログラミング言語で書かれたサンプルを使用して、クロスプラットフォーム攻撃が可能で、価値の高い被害者をターゲットにすることで知られています。Qilin/Agenda ランサムウェアの亜種は、世界中で最も活発な活動の 1 つに進化しました。
組織は、増大するランサムウェアの脅威と、その影響を軽減できるセキュリティ制御およびベスト プラクティスを理解する必要があります。
Qilin/Agenda ランサムウェアの出現
Qilin ランサムウェアの最初のインスタンスは、このグループが漏洩したデータを専用リークサイト (DLS) に投稿し始めた 2022 年に検出されました。このサイトへの初期の投稿は「Agenda」という名前で行われ、Golang ランサムウェアに元の名前が付けられ、現在でも広く使用されています。
Qilin ランサムウェアは主に Windows システムをターゲットとしますが、VMware ESXi サーバーをターゲットとする Linux の亜種も確認されています。
2022年9月までに、このランサムウェアは中国神話の生き物にちなんで「Qilin」という名前に変更されました。このグループのランサムウェア関連企業による攻撃は、独立国家共同体(CIS)内の組織を標的とすることを避ける傾向があり、ロシアの脅威アクターがいる可能性があることを示唆している。
ランサムウェアアフィリエイト
ハッキングフォーラムでのランサムウェアアフィリエイトの募集は、2023年後半に初めて確認されました。
RaaS オペレーションは、攻撃を開始するために必要なすべてのツールとインフラストラクチャをアフィリエイトに提供します。代わりに、Qilin RaaSグループは支払われた身代金の 15 ~ 20% を受け取ります。
2024 年 6 月、Qilin ランサムウェアは、ロンドンのいくつかの病院に診断および病理学サービスを提供することで知られる英国に本拠を置く医療会社である Synnovis が最大の被害者であると主張しました。 Qilin 攻撃では、約 400GB の医療データの漏洩を阻止するために 5,000 万ドルの身代金が要求されました。
この攻撃により Qilin の能力が明らかになり、それ以来 RaaS の運用は拡大するばかりです。
サイバーセキュリティの現状に関する報告書の調査結果
2025 年のサイバーセキュリティ現状レポートでは、DLS を分析することで、2024 年 11 月の被害者の 5% が Qilin であったことが判明しました。
身代金を支払った被害者はランサムウェア グループの DLS に表示されないため、このデータは実際の活動を測定していないことを覚えておくことが重要です。しかし、人気のある RaaS グループ、特に RansomHub の破壊により、Qilin ランサムウェアは 2025 年に再び急増します。
Qilin ランサムウェアの感染経路: フィッシング、RMM、 VPN
ターゲットのネットワークへのアクセスを確立するための最も一般的な Qilin ランサムウェア配布方法は次のとおりです。
- 被害者に悪意のあるリンクをクリックさせるフィッシングメールや、ターゲットを絞ったスピアフィッシングキャンペーン。
- 公開されているアプリケーションやインターフェースを侵入経路として悪用する。一般的な例としては、Citrixやリモートデスクトッププロトコル(RDP)などが挙げられる。
- Google Chromeを標的とする情報窃盗マルウェア。
- 侵害されたアカウントを通じて組織の仮想プライベートネットワーク(VPN)にアクセスする。
Qilin ランサムウェアが最初のアクセスを取得すると、暗号化して流出する機密データを求めて新しいシステムにアクセスするために横方向に移動し始めます。
このプロセスでは、リモート監視および管理(RMM)ツールがよく利用され、Cobalt Strikeは定期的にバイナリを展開します。ランサムウェアの実行ファイルは、PsExecやSecure Shell(SSH)ツールを介して拡散し、脆弱なシステムドライバを悪用して防御を回避します。
Qilin ランサムウェアの機能: 暗号化と回避技術
麒麟の関連組織は、二重恐喝型のランサムウェアを利用することで知られている。
これは、被害者のデータを暗号化して業務を妨害すると同時に、Tor上でホストされているDLSに機密情報を投稿すると脅迫することを意味する。二重恐喝の手法を用いるランサムウェアは、被害者にさらなる圧力をかけ、身代金を受け取る可能性を高めることを目的としている。
通信や支払いは、ランサムウェア関連者の身元を保護し、法執行機関によるQilinの捜査を妨害するように設計されている。これには以下が含まれます。
- ダークウェブポータルや暗号化メッセージングアプリを使ったコミュニケーション
- 仮想通貨で支払われる身代金
洗練された RaaS 運用として、Qilin ランサムウェアの関連会社は独自のバリアントを開発し、ターゲットに合わせて機能を調整できます。 これには、暗号化および回避のためのさまざまな設定の構成が含まれます。
一般的に使用される暗号化アルゴリズムは以下のとおりです。
- ChaCha20
- AES
- RSA-4096
暗号化は、オペレーターが制御する様々なモードを通じて展開されます。これらには、通常、ステップスキップ、高速、パーセントが含まれます。
各モードにより、ランサムウェアの関連組織は、攻撃の速度または完全性を優先するように攻撃をカスタマイズできる。アフィリエイトは、暗号化されたファイルのファイル名拡張子を選択することもできます。分析の結果、被害者ごとに暗号化されたファイルに固有の企業ID拡張子が追加されていることが判明した。
アフィリエイトは、被害者のシステム内の以下のようなさまざまなファイルタイプを標的にすることができます。
- 文書
- 画像
- Databases
コードの難読化や回避技術も利用可能であり、これには文字列の暗号化、関数名の変更、制御フローの変更などが含まれる。Qilinは、多用途で、ステルス性が高く、使いやすいランサムウェアとして宣伝されている。構成設定はすべてアフィリエイトパネルを通じて行われるため、基盤となるテクノロジーを多様な攻撃に容易に適応させることができます。
麒麟B型
2024年に初めて確認された、ランサムウェアの機能を強化する注目すべき亜種はQilin.Bです。このバージョンは、暗号化および回避技術が向上しています。
さまざまなシステムに合わせて調整された、多様な暗号化技術を提供します。
(秘密鍵がなければ、侵害されたデータにアクセスすることは不可能になる。)
Rust言語で作成されたランサムウェアであるQilin.Bは、セキュリティツールに関連するサービスを終了させたり、Windowsイベントログを消去したりすることで、セキュリティ対策を妨害します。また、攻撃後には自身を削除することで、ペイロードのリバースエンジニアリングによる分析を妨害する。
最後に、Qilin.Bはボリュームのシャドウコピーを削除して、復旧作業をより困難にします。
対象業種
RaaS(Randomware as a Service)であるQilinの標的は、技術開発元のグループではなく、ランサムウェア関連団体によって選ばれる。典型的な標的は、高額な身代金を脅し取るために、価値の高いデータを保有する大規模組織である。これにより、ランサムウェア攻撃者に人気の高い業界が明らかになります。例えば、以下のような業界です。
- 医療
- 教育
先に述べたように、麒麟の最も有名な攻撃は、英国に拠点を置く医療機関であるSynnovisに対するものだった。
このランサムウェア攻撃により、複数の病院で深刻な混乱が生じ、6,000件以上の予約や処置がキャンセルされ、献血不足も発生した。
Qilinヘルスケアランサムウェアのその他の被害者には以下が含まれます。
- セントラルテキサス小児整形外科
- マサチューセッツ州のネクストステップ・ヘルスケア
- カリフォルニアのヘルス・トラスト
医療機関に対するランサムウェア攻撃は特に頻繁に発生している。これは、これらの組織が機密性の高い患者データに依存する重要なサービスを運営している一方で、予算やサイバーセキュリティに関する専門知識が限られていることが多いためである。
教育機関や医療機関を標的としたランサムウェア攻撃はQilinの関連会社の間でより多く見られるが、一般的に言って、攻撃は特定の標的を狙ったものではなく、むしろ機会主義的なもののように思われる。ただし、CIS諸国では攻撃がほとんど見られないという点は注目に値する。
麒麟の被害を受けたその他の主要な組織には、英国のストリートペーパー「ビッグイシュー」、自動車会社のヤンフェン、オーストラリアの裁判所などがある。
最近の戦術:Fortinetの脆弱性攻撃と関連会社の法務顧問
麒麟グループ傘下企業が最近用いた戦術には、同社のファイアウォールを標的としたFortinetの脆弱性を悪用したランサムウェア攻撃が含まれる。
具体的には、これらの攻撃はFortinetの2つの重大な脆弱性を悪用しています。
- CVE-2024-21762:境界外書き込みの脆弱性により、リモートからコマンドを実行できる。
- CVE-2024-55591:認証バイパスによる権限昇格の脆弱性。
これらの脆弱性はどちらも FortiOS/FortiProxy SSL VPNデバイスに影響します。 当初、これらのFortinetの脆弱性を悪用したランサムウェア攻撃は、スペイン語圏の組織を標的としていた。しかし、それらは他の地域にも広がると予想される。
QilinグループはFortinetの脆弱性を利用した攻撃を自動化しており、関係者は攻撃対象を選択するだけで攻撃を開始できる。
もう一つの最近のアップデートは、Qilin RaaSパネルが提携企業向けに「弁護士に電話」という新機能を提供し、法的助言を提供するようになったことです。これは、身代金交渉を支援する弁護士へのアクセスを提供することで、被害者への圧力をさらに高めることを目的としている。
アフィリエイトは、攻撃を許したことで被害者が違反した正確な規則を知ることができ、身代金を支払わない場合に発生する可能性のあるコストについて専門家による評価を受けることができます。
検知、軽減、および予防戦略
Qilin ランサムウェアは関連会社に広範な機能を提供しますが、成熟したサイバーセキュリティ戦略を持つ組織は、攻撃を検出、軽減、防止するのに有利な立場にあります。
ランサムウェア攻撃のリスクを軽減するためのベストプラクティスとセキュリティ対策には、以下のようなものがあります。
- 隔離されたオフサイトのインフラストラクチャを利用して、最も機密性の高いデータを安全にバックアップします。
- 最新かつ安全なソフトウェアを確実に実行できるよう、適切なパッチ管理プロセスを導入する。
- 通常の業務範囲を超えた不審な活動がないか、ネットワークトラフィックを監視する。
- 強力で固有のパスワードと多要素認証(MFA)に基づいた、堅牢な認証手順を導入する。
- 不正アクセス後、ネットワークをセグメント化することで、横方向への移動を制限します。
- スタッフに対し、フィッシングメールの識別など、最も一般的に使用されているランサムウェアの配布方法を理解させるための研修を実施する。
- 機密データは、転送中だけでなく、システムに保存されている時点でも暗号化する。
- Qilinのような脅威を寄せ付けないための包括的な保護を提供する、市場で最も優れたランサムウェア対策セキュリティツールを特定する。
チェック・ポイントによるランサムウェア対策
チェック・ポイントのCheck Point Endpoint Securityは、最も高度な攻撃も阻止する完全なランサムウェア対策ソリューションです。 広範なエンドポイント セキュリティ制御によりネットワークへの不正アクセスが拒否され、自動回復ツールにより潜在的な侵害の影響が最小限に抑えられます。
Check Point Endpoint Securityは、Qilinをはじめとするランサムウェアの脅威から組織を保護するために必要なすべてを、オールインワンの費用対効果の高いソリューションとして提供します。
今すぐ無料の個別デモをお申し込みください。お客様のニーズに合わせてカスタマイズできる方法をご確認いただけます。
