Qilin Ransomware (Agenda): A Deep Dive
ransomware Qlin, também conhecido como ransomware Agenda, é uma operação popular de RaaS (ransomware como serviço) que vende sua tecnologia para afiliados, permitindo que eles lancem seus próprios ataques. Os afiliados que trabalham com a operação RaaS são conhecidos por utilizar táticas de dupla extorsão com ransomware. Ao criptografar e exfiltrar dados, os afiliados ameaçam vazar informações confidenciais para pressionar os clientes a efetuarem pagamentos.
Com exemplos escritos nas linguagens de programação Golang e Rust, o ransomware Qilin é capaz de realizar ataques multiplataforma e é conhecido por visar vítimas de alto valor. A variante de ransomware Qilin/Agenda evoluiu para uma das operações mais ativas em todo o mundo.
As organizações precisam entender essa crescente ameaça de ransomware , bem como os controles de segurança e as melhores práticas que podem mitigar seu impacto.
O surgimento do ransomware Qilin/Agenda
Os primeiros casos do ransomware Qilin foram detectados em 2022, quando o grupo começou a publicar dados vazados em seu Site Dedicado a Vazamentos (DLS, na sigla em inglês). As primeiras postagens no site foram feitas sob o nome "Agenda", dando ao ransomware Golang seu nome original, que ainda é comumente usado.
O ransomware Qilin tem como alvo principal sistemas Windows, embora variantes para Linux tenham sido identificadas e sejam direcionadas a servidores VMware ESXi.
Em setembro de 2022, o ransomware mudou de nome para Qilin, em homenagem a uma criatura da mitologia chinesa. Os ataques realizados por afiliados do grupo de ransomware tendem a evitar organizações na Comunidade dos Estados Independentes (CEI), o que indica uma possível ameaça de origem russa.
Afiliado de ransomware
O recrutamento de afiliados de ransomware em fóruns de hackers foi observado pela primeira vez no final de 2023.
A operação RaaS fornece aos afiliados todas as ferramentas e infraestrutura necessárias para lançar ataques. Em contrapartida, o grupo Qilin RaaS recebe entre 15% e 20% dos resgates pagos.
Em junho de 2024, o ransomware Qilin fez sua maior vítima, a Synnovis, uma empresa médica sediada no Reino Unido, conhecida por fornecer serviços de diagnóstico e patologia para diversos hospitais de Londres. O ataque da Qilin exigiu um resgate de 50 milhões de dólares para impedir a divulgação de aproximadamente 400 GB de dados de saúde.
Esse ataque destacou as capacidades da Qilin, e a operação RaaS só cresceu desde então.
As conclusões do relatório sobre o estado da cibersegurança
Ao analisar os DLSs (Sistemas de Gerenciamento de Disputas), o relatório State of Cibersegurança 2025 constatou que o Qilin foi responsável por 5% das vítimas em novembro de 2024.
É importante lembrar que esses dados não medem a atividade real, pois as vítimas que pagam o resgate não aparecerão na lista de distribuição (DLS) de um grupo de ransomware. No entanto, o ransomware Qilin teve um novo aumento em 2025 devido à interrupção de grupos populares de RaaS (Ransomware as a Service), particularmente o RansomHub.
Vetores de infecção do ransomware Qilin: Phishing, RMM e VPN
Aqui estão os métodos de distribuição mais comuns do ransomware Qilin para obter acesso à rede de um alvo:
- E-mails Phishing e campanhas de spear phishing mais direcionadas induzem as vítimas a clicar em um link malicioso.
- Explorar aplicativos e interfaces expostos como ponto de entrada. Exemplos comuns incluem Citrix e Protocolo de Área de Trabalho Remota (RDP).
- malware tipo Infostealer que tem como alvo o Google Chrome.
- Acesso à rede privada virtual (VPN) de uma organização por meio de contas comprometidas.
Após obter acesso inicial, o ransomware Qilin começa a se mover lateralmente para acessar novos sistemas em busca de dados confidenciais para criptografar e exfiltrar.
Ferramentas de monitoramento e gerenciamento remoto (RMM) são frequentemente utilizadas durante esse processo, enquanto o Cobalt Strike implanta o binário regularmente. O executável do ransomware pode se propagar por meio de ferramentas PsExec e Secure Shell (SSH), e drivers de sistema vulneráveis são explorados para burlar as defesas.
Capacidades do ransomware Qilin: técnicas de criptografia e evasão
Os afiliados da Qilin são conhecidos por utilizarem ransomware de dupla extorsão.
Isso significa criptografar os dados da vítima para interromper as operações, enquanto simultaneamente ameaça publicar informações confidenciais em seu servidor DLS hospedado na rede Tor. O ransomware que utiliza técnicas de dupla extorsão visa pressionar ainda mais a vítima e aumentar a probabilidade de receber um resgate.
As comunicações e os pagamentos são projetados para proteger a identidade do afiliado do ransomware e impedir que as autoridades investiguem a Qilin. Isso inclui:
- O uso de portais da dark web ou aplicativos de mensagens criptografadas para comunicação.
- Os resgates estão sendo pagos via criptomoeda.
Como uma operação sofisticada de RaaS ransomware , os afiliados do Qilin podem desenvolver suas próprias variantes e adaptar as funcionalidades para atender aos seus alvos. Isso inclui configurar várias definições para criptografia e evasão.
Os algoritmos de criptografia típicos utilizados são:
- ChaCha20
- AES
- RSA-4096
A criptografia é implementada por meio de vários modos controlados pelo operador. Essas opções incluem normal, pular etapas, rápido e porcentagem.
Cada modo permite que o afiliado do ransomware personalize seu ataque, priorizando velocidade ou abrangência. Os afiliados também podem escolher a extensão do nome dos arquivos criptografados. A análise mostra que cada vítima teve uma extensão de ID de empresa exclusiva adicionada aos arquivos criptografados.
Os afiliados podem visar diversos tipos de arquivos nos sistemas da vítima, tais como:
- Documentos
- Imagens
- Databases
Técnicas de ofuscação e evasão de código também estão disponíveis, incluindo criptografia de strings, renomeação de funções e alteração de fluxos de controle. O Qilin é comercializado como um ransomware versátil, furtivo e fácil de usar. Todas as configurações são feitas através do painel de afiliados para simplificar a adaptação da tecnologia subjacente a diversos tipos de ataques.
A variante Qilin.B
Uma variante notável, observada pela primeira vez em 2024, que aprimora as capacidades do ransomware é a Qilin.B. Esta variante oferece técnicas aprimoradas de criptografia e evasão.
Oferece uma variedade de técnicas de criptografia diferentes, adaptadas a diversos sistemas.
(tornando impossível o acesso a dados comprometidos sem a chave privada.)
O ransomware Rust Qilin.B prejudica as proteções ao encerrar serviços associados a ferramentas de segurança e limpar os registros de eventos do Windows. Ele também se autodestroi após o ataque para dificultar a análise por meio de engenharia reversa da carga útil.
Por fim, o Qilin.B exclui as cópias de sombra do volume para dificultar os esforços de recuperação.
Indústrias Alvo
Como se trata de uma operação RaaS (Ranking como Serviço), os alvos do Qilin são escolhidos por afiliados de ransomware, e não pelo grupo por trás da tecnologia. Os alvos típicos são organizações maiores com dados de alto valor, para extorquir resgates mais elevados. Isso nos leva aos setores populares entre os autores de ransomware, tais como:
- Serviço de saúde
- Educação
Conforme discutido anteriormente, o ataque mais famoso de Qilin foi contra a organização de saúde Synnovis, sediada no Reino Unido.
Este ataque de ransomware causou transtornos significativos em vários hospitais, resultando no cancelamento de mais de 6.000 consultas e procedimentos, além de uma escassez de doações de sangue.
Outras vítimas do ransomware Qilin na área da saúde incluem:
- Ortopedia Pediátrica do Centro do Texas
- Próximo passo: assistência médica em Massachusetts
- O Fundo de Saúde na Califórnia
Os ataques de ransomware no setor de saúde são particularmente comuns, visto que essas organizações executam serviços vitais que dependem de dados sensíveis de pacientes, mas também costumam ter orçamentos limitados e pouca experiência em segurança cibernética.
Embora os ataques de ransomware contra instituições de ensino e de saúde sejam mais comuns entre as afiliadas da Qilin, de modo geral, os ataques parecem ser mais oportunistas do que especificamente direcionados, com exceção da notável ausência de ataques na CEI (Comunidade de Estados Independentes).
Outras vítimas significativas do caso Qilin incluem o jornal de rua britânico The Big Issue, a empresa automobilística Yanfeng e o serviço judicial australiano.
Táticas recentes: Explorações da Fortinet e assessoria jurídica de afiliados
As táticas recentes empregadas por afiliados da Qilin incluem ataques ransomware Fortinet Vulnerável, direcionados ao firewall da empresa.
Especificamente, esses ataques exploram duas vulnerabilidades críticas da Fortinet:
- CVE-2024-21762: Vulnerabilidade de escrita fora dos limites que permite a execução remota de comandos.
- CVE-2024-55591: Vulnerabilidade de bypass de autenticação para escalonamento de privilégios.
Ambas as exceções afetam o dispositivo VPNSSL FortiOS/FortiProxy. Inicialmente, esses ataques ransomware Vulnerabilidade da Fortinet tinham como alvo organizações em países de língua espanhola. No entanto, espera-se que se espalhem para outras regiões.
O grupo Qilin está automatizando os ataques à vulnerabilidade da Fortinet, e os afiliados só precisam selecionar o alvo para lançar um ataque.
Outra atualização recente é o painel Qilin RaaS, que oferece aos afiliados assessoria jurídica com um novo recurso chamado "Ligar para um Advogado". O objetivo é aumentar ainda mais a pressão sobre as vítimas, dando-lhes acesso a advogados para auxiliar nas negociações de resgate.
Os afiliados podem descobrir exatamente quais regulamentos suas vítimas violaram ao permitir o ataque e receber uma avaliação especializada sobre os custos potenciais caso não paguem o resgate.
Estratégias de Detecção, Mitigação e Prevenção
Embora o ransomware Qilin ofereça aos afiliados amplas funcionalidades, as organizações com estratégias de cibersegurança maduras estão bem posicionadas para detectar, mitigar e prevenir ataques.
As melhores práticas e controles de segurança que reduzem o risco de ataques de ransomware incluem:
- Faça backup dos seus dados mais sensíveis com segurança, utilizando infraestrutura isolada e externa.
- Implementar processos adequados de gerenciamento de patches para garantir que você esteja executando o software mais atualizado e seguro.
- Monitoramento do tráfego de rede em busca de atividades suspeitas que fujam das operações típicas.
- Implementação de procedimentos robustos de autenticação baseados em senhas fortes e únicas e Autenticação multifatorial (MFA).
- Segmentar sua rede para limitar a movimentação lateral após um acesso não autorizado inicial.
- Treinar a equipe para entender os métodos de distribuição ransomware mais comuns, como identificar e-mails de phishing.
- Criptografar dados sensíveis em repouso, quando armazenados em seus sistemas, e não apenas durante a transmissão.
- Identificar a melhor ferramenta de segurança anti-ransomware do mercado que ofereça proteção abrangente para manter ameaças como o Qilin sob controle.
Proteção contra ransomware com Check Point
O Check Point Endpoint Security da Check Point é uma solução completa contra ransomware que impede até mesmo os ataques mais sofisticados. Controles de segurança de endpoint abrangentes impedem o acesso não autorizado à sua rede, e ferramentas automatizadas de recuperação minimizam o impacto de possíveis violações.
O Check Point Endpoint Security oferece tudo o que você precisa para proteger sua organização contra o Qilin e outras ameaças de ransomware em uma solução completa e econômica.
Solicite hoje mesmo uma demogratuita e personalizada e descubra como ela pode ser adaptada para atender às suas necessidades específicas.
