Qilin Ransomware (Agenda): A Deep Dive
Qlin 勒索軟體,也稱為 Agenda 勒索軟體,是一種流行的 RaaS (勒索軟體-as-a-Service) 作業,將其技術出售給聯盟 - 讓他們發動自己的攻擊。 與 RaaS 作業合作的關聯公司以利用 勒索軟體 的雙重勒索策略而聞名。 透過加密和滲透資料,聯盟會威脅洩露敏感資訊,以便在要求付款時施加壓力。
Qilin 勒索軟體以 Golang 和 Rust 兩種程式語言撰寫樣本,能夠進行跨平台攻擊,並以攻擊高價值受害者為目標。 Qilin/Agenda 勒索軟體變種已演變為全球最活躍的作業之一。
組織需要瞭解這種日益嚴重的勒索軟體威脅,以及可以減輕其影響的安全控制和最佳作法。
麒麟/傳說 勒索軟體 Emergence
2022 年,當該組織開始在其專用洩漏網站 (DLS) 發佈洩漏資料時,就偵測到了第一批 Qilin 勒索軟體。網站早期的文章是以「Agenda」為名,讓 Golang 勒索軟體有了最初的名稱,這個名稱至今仍被普遍使用。
Qilin 勒索軟體主要以 Windows 系統為目標,不過也發現了以 VMware ESXi 伺服器為目標的 Linux 變體。
到了 2022 年 9 月,「勒索軟體 」重新命名為 「麒麟」,取自中國神話中的一種生物。 該組織的隸屬組織往往避免以獨聯體 (CIS) 內的組織為攻擊目標,顯示可能是俄羅斯的威脅行動者。
勒索軟體聯盟
駭客論壇上的勒索軟體從屬會員招募是在 2023 年底首次被觀察到。
RaaS 作業為聯盟提供發動攻擊所需的所有工具和基礎架構。作為回報,麒麟RaaS集團會從支付的贖金中收取 15-20% 。
2024 年 6 月,Qilin 勒索軟體宣稱它最大的受害者 Synnovis 是一家英國醫療公司,以提供倫敦幾家醫院診斷和病理學服務而聞名。 Qilin 攻擊要求 5000 萬美元的贖金,以阻止釋放約 400GB 的醫療照護資料。
這次攻擊突顯了 Qilin 的能力,而自此之後,RaaS 業務只增不降。
網路安全狀況報告結果
透過分析 DLS,《 2025 年網路安全狀態報告》發現,在 2024 年 11 月的受害者中,Qilin 佔了 5% 。
重要的是要記住,這些資料無法衡量真正的活動,因為支付贖金的受害者不會出現在 勒索軟體 集團的 DLS 上。 但是,由於受歡迎的 RaaS 團體(尤其是 RansomHub)的干擾,Qilin 勒索軟體在 2025 年再次出现激增。
麒麟軟體 勒索 Infection Vectors:網路釣魚, RMM, 和VPN
以下是最常見的 Qilin 勒索軟體分發方法,用來建立存取目標的網路:
- 網路釣魚電子郵件和更有針對性的魚叉式網路路徑釣魚活動,會引導受害者點選惡意連結。
- 利用暴露的應用程式和介面作為切入點。常見的例子包括 Citrix 和遠端桌面通訊協定 (RDP)。
- 以 Google Chrome 為目標的 Infostealer 惡意軟體。
- 透過外洩帳戶存取組織的虛擬私人網路 (VPN)。
一旦 Qilin 勒索軟體取得初始存取權,它就會開始橫向移動存取新系統,以尋找敏感資料進行加密和外洩。
在此過程中,通常會使用遠端監控與管理 (RMM) 工具,而 Cobalt Strike 則會定期部署二進位檔案。軟體 勒索可執行檔可透過 PsExec 和 Secure Shell (SSH) 工具傳播,並利用易受攻擊的系統驅動程式來逃避防禦。
麒麟軟體 勒索 Capabilities:加密和閃避技術
Qilin 聯盟以使用雙重勒索軟體而聞名。
這意味著加密受害者的資料以中斷運作,同時威脅要將敏感資訊發佈到其託管在 Tor 上的 DLS。勒索軟體使用雙重勒索技術,目的是對受害者施加額外壓力,並增加收到贖金的可能性。
溝通和付款的目的是為了保護麒麟軟體關聯公司的身份,並阻礙執法機構調查麒麟。 這包括
- 使用暗網入口網站或加密訊息應用程式進行通訊
- 透過加密貨幣支付的贖金
身為精密的 RaaS 作業系統,Qilin 勒索軟體的關聯企業可以開發自己的變體,並依據目標量身打造功能。 這包括設定各種加密和迴避的設定。
使用的典型加密演算法有
- ChaCha20
- AES
- RSA-4096
加密可透過操作員控制的各種模式進行部署。這些功能包括正常、步進滑動、快速和百分比。
每種模式都允許 勒索軟體 聯盟度身訂造他們的攻擊,以速度或完整性為優先。 合作夥伴也可以選擇加密檔案的副檔名。分析顯示每個受害者都有一個獨特的公司 ID 副檔名被加到加密檔案中。
合作夥伴可以將受害者系統內的一系列檔案類型作為目標,例如:
- 文件
- 圖片
- Databases
程式碼混淆和迴避技術也可用,包括加密字串、重新命名函數和改變控制流程。Qilin 的市場定位是多功能、隱藏且易於使用的 勒索軟體。 組態設定全部透過附屬面板進行,以簡化針對不同攻擊的底層技術調整。
麒麟 B 變種
在 2024 年首次觀察到的一個顯著變體是 Qilin.B,它增強了勒索軟體的功能。 此變體提供改良的加密和迴避技術。
它針對各種系統提供一系列不同的加密技術。
(Making it impossible to access compromised data without the private key)。
A Rust 勒索軟體, Qilin.B 透過終止與安全工具相關的服務和清除 Windows 事件日誌來阻礙保護。 它也會在攻擊後自動刪除,以阻礙透過逆向工程分析有效載荷。
最後,Qilin.B 會刪除卷影複本,使復原工作更具挑戰性。
目標產業
身為一個 RaaS 作業,Qilin 的目標是由 Lease 軟體的關聯公司選擇,而非技術背後的集團。 典型的目標是擁有高價值資料的大型組織,以勒索更高的贖金。這就引出了在演員中很受歡迎的行業,例如: 勒索軟體:
- 醫療保健
- 教育
如前所述,Qilin 最著名的攻擊是針對英國的醫療保健組織 Synnovis。
這次勒索軟體攻擊導致多家醫院嚴重中斷,造成超過 6,000 個預約和手術取消,以及捐血短缺。
其他 Qilin Healthcare 勒索軟體受害者包括:
- 德州中部兒童骨科
- 馬薩諸塞州的 Next Step 醫療保健
- 加州健康信託
醫療照護軟體 勒索攻擊尤其常見,因為這些組織運行依賴敏感病患資料的重要服務,但預算和網路安全專業知識也往往有限。
雖然教育與醫療駭客勒索軟體攻擊在 Qilin 聯盟中比較常見,但一般而言,除了獨聯體 (CIS) 中顯著沒有攻擊外,其他攻擊似乎都是伺機而起,而非針對特定目標。
其他重要的 Qilin 受害者包括英國街頭報紙 The Big Issue、汽車公司 Yanfeng 以及澳洲法院服務。
最近的策略:Fortinet 漏洞與聯盟法律顧問
最近由 Qilin 關係企業採用的策略包括 Fortinet 脆弱性 勒索軟體 針對該公司防火牆的攻擊。
具體來說,這些攻擊利用了兩個關鍵的 Fortinet 脆弱性:
- CVE-2024-21762:可遠端執行指令的越界寫入弱性。
- CVE-2024-55591:用於權限升級的弱性驗證旁路。
這兩種弱性會影響 FortiOS/FortiProxySSLVPN裝置。 最初,這些 Fortinet 脆弱性 勒索軟體 攻擊的目標是西班牙語國家的組織。 不過,預計它們會擴散到其他地區。
Qilin 團伙將 Fortinet 脆弱性攻擊自動化,附屬組織只需選擇目標即可發動攻擊。
最近的另一項更新是 Qilin RaaS 面板透過全新的「呼叫律師」功能,為聯盟公司提供法律顧問服務。此舉旨在透過提供律師協助進行贖金談判,進一步增加受害者的壓力。
聯盟會員可以瞭解受害者因允許攻擊而違反的確切規定,並接受專家評估,以瞭解受害者若不支付贖金可能付出的代價。
偵測、減緩& 預防策略
雖然 Qilin 勒索軟體提供關係企業廣泛的功能,但擁有成熟網路安全策略的組織已準備就緒,可以 偵測、 減緩並預防攻擊。
可降低 勒索軟體 攻擊風險的最佳作法和安全控制包括: 1:
使用 Check Point 進行勒索軟體防護
Check Point Endpoint Security fromCheck Point 是一套完整的 反勒索軟體解決方案,可阻止最複雜的攻擊。 廣泛的端點資安控制可防止未經授權存取您的網路路徑,而自動化的復原工具則可將潛在漏洞的影響降至最低。
Check Point Endpoint Security 提供您所需的一切,以保護您的組織免受 Qilin 和其他 勒索軟體威脅的所有功能於一身的高成本效益解決方案。
立即索取個人化的 免費示範,瞭解如何量身打造以滿足您的確切需求。
