Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als führend eingestuft. >
NEU

Vectra AI wird im Gartner Magic Quadrant 2025 für Network Detection and Response (NDR) als Leader eingestuft. Bericht herunterladen. >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
Briefings zu Bedrohungen

Qilin's 2025 Playbook und die Sicherheitslücke, die es aufdeckt

Oktober 15, 2025
Lucie Cardiet
Manager für Cyberbedrohungsforschung
Qilin's 2025 Playbook und die Sicherheitslücke, die es aufdeckt

Qilin ist nicht aus dem Nichts aufgetaucht. Die Gruppe entwickelte sich im Jahr 2025 zu einer hochmodernen ransomware, die Angriffe auf öffentliche Einrichtungen, das Bildungswesen, das Gesundheitswesen, die Industrie und große Unternehmen ausweitete. Laut mehreren Aufklärungsberichten gehört Qilin zu den aktivsten Gruppen in diesem Jahr, mit einem zweistelligen Anteil an den monatlichen Opfermeldungen und einem dreistelligen Wachstum im Jahresvergleich. Sicherheitsteams in Frankreich und den Vereinigten Staaten bekamen diesen Anstieg direkt zu spüren, von Regionalräten und Schulbezirken bis hin zu Sheriff-Büros und Herstellern.

Foto eines von ransomware gesperrten Bildschirms
Quelle: x

Wer Qilin ist, in praktischen Begriffen

Qilin betreibt ein klassisches RaaS-Modell. Die Hauptbetreiber verwalten malware, Leak-Sites und Verhandlungsportale. Die Partner verschaffen sich zunächst Zugang, bewegen sich seitlich, stehlen Daten, stellen das Schließfach bereit und setzen die Opfer dann mit Veröffentlichungsdrohungen unter Druck. Öffentliche Untersuchungen und Anbieteranalysen beschreiben, dass Qilin Windows-, Linux- und ESXi-fähige Nutzlasten verwendet, die ursprünglich mit der Agenda-Familie in Verbindung gebracht wurden, sowie Tools, die eine schnelle Bereitstellung und Abwehrmaßnahmen begünstigen.

Kurz gesagt, die spezifischen Partner und Zugangsvektoren können variieren, aber Qilins operativer Bogen ist einheitlich. Erwarten Sie Zugang über Anmeldeinformationen, leise Seitwärtsbewegungen, Batch-Bereitstellung, Datendiebstahl und dann Erpressung.

Die Anatomie eines Qilin-Angriffs

Die Operationen von Qilin folgen einer erkennbaren Kette von Aktivitäten. Jede Phase offenbart eine Entdeckungsmöglichkeit, die mit herkömmlichen Instrumenten oft unbemerkt bleibt.

Angriffsphase Von Qilin verwendete Techniken Herausforderung Schlüsselerkennung
Erster Zugang Spearphishing, RMM-Ausbeutung, MFA-Bombing, SIM-Swapping, Missbrauch von Zugangsdaten Angreifer dringen über legitim anmutende Kanäle ein. Beim Spearphishing werden häufig vertrauenswürdige cloud oder Rechnungsköder verwendet, um Anmeldedaten zu sammeln. RMM-Missbrauch ermöglicht einen Remote-Support-ähnlichen Zugriff, der für Überwachungstools legitim erscheint. MFA-Bombing und SIM-Swap-Angriffe verwandeln den Multi-Faktor-Schutz in eine Belastung, indem sie Genehmigungen erzwingen oder abfangen. Diese Techniken erzeugen Authentifizierungs- und Remote-Sitzungen, die normal erscheinen, so dass regelbasierte Erkennung und auf Signaturen ausgerichtete Kontrollen sie häufig übersehen. Kontinuierliches Identitäts-Baselining und die Erkennung anormaler Authentifizierungspfade sind erforderlich, um eine frühzeitige Kompromittierung zu erkennen.
Fuß fassen Bereitstellung von Remote-Tools, Privilegienerweiterung, Persistenz über geplante Aufgaben Nach dem Zugriff härten die Partner die Persistenz und erweitern die Berechtigungen. Sie fügen Administratorkonten hinzu, implantieren Remote-Shells oder aufgabenbasierte Persistenz und deaktivieren die Telemetrie, um eine Entdeckung zu verhindern. Diese Aktionen spiegeln oft routinemäßige Admin-Änderungsfenster wider, so dass sie sich in legitime IT-Aktivitäten einfügen. Eine verhaltensorientierte Plattform hebt ungewöhnliche Zeitpunkte, unerwartete Kontoerstellungen und plötzliche Lücken in der Telemetrie hervor, um diese Phase aufzudecken.
Seitliche Bewegung RDP, SMB, AD-Missbrauch, Verwendung von GPO für die Verbreitung von ransomware Qilin-Betreiber nutzen legitime Verwaltungsprotokolle und AD-Missbrauch. Sie zählen Vertrauensstellungen und Dienstkonten auf und verwenden dann GPOs oder skriptgesteuerte Pushs, um Payloads in großem Umfang auszuführen. Da es sich hierbei um typische Verwaltungsmuster handelt, werden sie von Perimeter- und endpoint in der Regel als Wartungsfehler eingestuft. Zur Erkennung müssen typische Administratorbeziehungen abgebildet und seltene Authentifizierungsgraphen, ungewöhnliche Prozessketten oder untypische GPO-Änderungen gekennzeichnet werden.
Exfiltration von Daten Rclone-, SMB- und cloud Die Exfiltration wird von Servern, Backups oder privilegierten Konten aus inszeniert, um den Verdacht zu verringern. Dateien werden vor der Übertragung oft archiviert oder verschlüsselt, wodurch die Fingerabdrücke des Inhalts verborgen werden. Übertragungen spiegeln Backup- oder Synchronisierungsaufträge wider, so dass volumetrische Alarme allein nicht ausreichen. Eine kontextbezogene Korrelation, die ungewöhnliche Quellkonten, neuartige Ziele und Zeitpunkte außerhalb geplanter Zeitfenster miteinander verknüpft, ist erforderlich, um das Verhalten von Exfiltrationsvorläufern aufzudecken.
Auswirkungen und Verschlüsselung Rust-basierte ransomware mit AES-256-CTR, OAEP, AES-NI, ChaCha20; löscht VSS; löscht Protokolle Die modernen Nutzdaten von Qilin kombinieren eine schnelle, hardwarebeschleunigte symmetrische Verschlüsselung mit einem robusten asymmetrischen Schlüssel-Wrapping, das eine Wiederherstellung ohne Schlüssel praktisch unmöglich macht. Chrome-Erweiterungsdiebe zielen auf im Browser gespeicherte Anmeldedaten und Sitzungen ab, um den Zugriff zu erweitern. Anti-Forensik-Routinen löschen Windows-Ereignisprotokolle und entfernen die Nutzlast, um IR zu vereiteln. Angreifer löschen auch Volumenschattenkopien und beschädigen Backups, um eine Zahlung zu erzwingen. Die Erkennung muss daher vor der Verschlüsselungsphase erfolgen. Dabei sollten Verhaltenssignale wie das schnelle Anhalten von Diensten, die massenhafte Bereitstellung von Dateien, plötzliche VSS-Operationen und die ungewöhnliche Verwendung von Browser-Erweiterungen oder Anmeldedaten-Speichern vorrangig behandelt werden.

Jeder der folgenden Schritte stellt einen Verhaltens-Fingerabdruck dar, den KI-gesteuerte Analysen aufdecken können - den regelbasierte Tools jedoch oft übersehen.

1. Erster Zugang

Qilin-Mitglieder setzen auf Social Engineering und die Ausnutzung von Zugangsmöglichkeiten, um in Ziele einzudringen.

Zu den gängigen Techniken gehören:

  • Spearphishing: Gezielte phishing liefern bösartige Nutzdaten oder Links zum Abfangen von Zugangsdaten. Qilin nutzt oft legitime cloud , um vertrauenswürdig zu erscheinen.
  • Ausnutzung der Fernüberwachung und -verwaltung (RMM): Angreifer kapern oder imitieren vertrauenswürdige RMM-Tools wie AnyDesk oder ConnectWise, um sich unter dem Deckmantel des IT-Supports zu behaupten.
  • Seitliche Bewegung und Ausbeutung: Sobald Qilin eingedrungen ist, sondiert es angeschlossene Systeme und schwenkt über Netzwerkfreigaben oder Domänenvertrauensstellungen, um nach schwachen Anmeldeinformationen oder Fehlkonfigurationen zu suchen.
  • Multi-Faktor-Authentifizierung (MFA) Bombardierung: Wiederholte MFA-Push-Anfragen überfordern einen Benutzer und verleiten ihn dazu, eine betrügerische Anmeldung zu genehmigen.
  • SIM-Austausch: In einigen Fällen verwenden Qilin-Mitglieder SIM-Swapping, um MFA-Token abzufangen, insbesondere bei gezielten Konten von Führungskräften oder Administratoren.

Warum es funktioniert: Jede dieser Techniken missbraucht legitimes Benutzerverhalten - nicht malware . Ohne kontinuierliche Identitätsanalyse und Verhaltensbaselining sehen SOC-Teams diese als "normale Anmeldungen" an.

2. Verankerung und Privilegieneskalation

Nachdem sie sich Zugang verschafft haben, konzentrieren sich die Qilin-Tochtergesellschaften auf die Konsolidierung der Kontrolle:

  • Erstellung neuer lokaler oder Domänen-Administratorkonten zur Gewährleistung der Persistenz.
  • Einsatz von Remote-Shells oder Skripten zur Aufrechterhaltung der Konnektivität.
  • Deaktivierung oder Manipulation von endpoint und Protokollierungsdiensten.

In vielen Fällen deaktivieren sie Antivirenprogramme, unterbrechen die Protokollierung und richten sekundäre Zugangspunkte durch geplante Aufgaben oder die Einrichtung von Diensten ein . Diese Phase kann mehrere Tage dauern, so dass sie genügend Zeit haben, um herauszufinden, wo sich sensible Daten befinden.

Erkennungslücke: Diese Aktivitäten fügen sich in normale IT-Workflows ein. Ohne KI-Modelle, die darauf trainiert sind, ungewöhnliche Privilegieneskalationen oder die Wiederverwendung von Privilegien zu erkennen, werden solche Anomalien selten priorisiert.

3. Seitliche Bewegung und Bereichskontrolle

Sobald Qilin in das Netzwerk eingedrungen ist, geht es darum, die volle administrative Kontrolle zu erlangen. Sie verwenden:

  • Remote Desktop Protocol (RDP) und Windows Management Instrumentation (WMI ) für Host-to-Host-Pivoting.
  • Active Directory Enumeration zur Identifizierung hochwertiger Systeme und Domänencontroller.
  • Missbrauch von Gruppenrichtlinienobjekten (GPO) zur netzwerkweiten Verteilung von Nutzdaten.

Herausforderung bei der Erkennung: Viele dieser Aktionen spiegeln legitime Verwaltungsfunktionen wider. Nur Plattformen, die kontinuierlich Identitäts- und Berechtigungsbeziehungen modellieren, können dieses Verhalten in Echtzeit aufzeigen.

4. Datenexfiltration

Vor der Verschlüsselung exfiltriert Qilin systematisch sensible Daten für eine doppelte Erpressung. Zu den gängigen Tools gehören Rclone, SMB-Freigaben und cloud .

Diese Übertragungen stammen in der Regel von Dienstkonten mit hohen Berechtigungen oder von Backup-Servern - Systeme, die selten Exfiltrationswarnungen auslösen. Die Angreifer verschlüsseln oder komprimieren Archive, bevor sie sie auf cloud hochladen, um die Entdeckungswahrscheinlichkeit zu verringern.

5. Auswirkungen und Verschlüsselung

Im Jahr 2025 führte Qilin wichtige Upgrades für seine ransomware ein, die sowohl die Leistung als auch die Widerstandsfähigkeit erhöhten:

Erweiterungen der Verschlüsselung

  • AES-256-CTR: Verwendet 256-Bit-Schlüssel im Zählermodus (CTR) und ermöglicht eine symmetrische Hochgeschwindigkeitsverschlüsselung.
  • Optimal Asymmetric Encryption Padding (OAEP): Verstärkt die RSA-Schlüsselumhüllung, um kryptografischen Angriffen zu widerstehen.
  • AES-NI-Optimierung: Nutzt x86 AES New Instructions für nahezu sofortige Verschlüsselung auf modernen CPUs.
  • ChaCha20 Stream Cipher: Implementiert schnelle und sichere Verschlüsselung für bestimmte Kommunikations- und Dateitypen.

Diese Funktionen machen eine Entschlüsselung ohne Schlüssel nahezu unmöglich. In Kombination mit der parallelisierten Verschlüsselung können ganze Netzwerke innerhalb von Minuten gesperrt werden.

Umgehung der Sicherheit

Qilin-Varianten sind so konzipiert, dass sie Forensik und Reaktion auf Vorfälle behindern:

  • Löscht Windows-Ereignisprotokolle , um Ausführungsspuren zu entfernen.
  • Löscht sich nach der Verschlüsselung selbst , um Beweise für die Nutzlast zu vernichten.
  • Beendet Sicherheitsprozesse und deaktiviert die Telemetrieberichte vor der Ausführung.

Beschädigung der Sicherung

  • Löscht Windows Volume Shadow Copies (VSS), um eine Wiederherstellung des Systems zu verhindern.
  • Er zielt auf netzwerkbasierte Backups ab und beschädigt oder verschlüsselt häufig Snapshots, um den Nutzen zu maximieren.

Die Sicherheitslücke, die Qilin ausnutzt

Herkömmliche Tools sind auf Signaturen, statische Indikatoren oder Korrelation nach einem Ereignis angewiesen. Qilin gedeiht in Umgebungen, in denen Identitätsverhalten, laterale Bewegungen und Exfiltrations-Telemetrie nicht einheitlich sind.

Die agentenbasierte Erkennung hat in hybriden Umgebungen Probleme - nicht verwaltete Server, IoT- oder SaaS-Anwendungen bleiben oft unüberwacht. Ein auf Anmeldeinformationen basierender Zugriff entgeht der endpoint vollständig. Und die Alarmmüdigkeit verdeckt frühe Verhaltenshinweise, die eine Eindämmung hätten auslösen sollen.

SOC-Teams benötigen eine einheitliche Sicht auf das Verhalten von Angreifern, die über das Netzwerk, die Identität und die cloud hinweg korreliert - und genau hier bietet die Vectra AI Platform Transparenz.

Wo die Sichtbarkeit versagt, ändert die KI-Erkennung das Ergebnis

Die Vectra AI erkennt ransomware , indem sie sich auf das Verhalten und nicht auf Signaturen konzentriert:

  • Agentenlose Transparenz in hybriden Umgebungen, einschließlich nicht verwalteter Systeme, ESXi und cloud .
  • KI-gesteuerte Korrelation über Identitäts-, Netzwerk-, SaaS- und cloud hinweg, um den Missbrauch von Anmeldeinformationen, laterale Bewegungen und Exfiltration zu erkennen.
  • Triage und Priorisierung in Echtzeit, die schwache Signale zu einem einzigen Vorfall mit hoher Zuverlässigkeit zusammenfasst.
  • Nahtlose Integration in vorhandene SIEM-, SOAR- und EDR-Tools zur Beschleunigung der Reaktion.

Indem Vectra AI das Verhalten von Angreifern abbildet, anstatt auf Indikatoren zu warten, können SOC-Teams Qilin-ähnliche Kampagnen unterbrechen, bevor es zu einer Verschlüsselung und Datenpreisgabe kommt.

Der Erfolg von Qilin im Jahr 2025 beweist, dass ransomware nicht mehr von neuen Sicherheitslücken abhängt. Sie hängt von den blinden Flecken zwischen Ihren Tools ab. Mit einer KI-gesteuerten Erkennung, die das Verhalten in den Bereichen Identität, Netzwerk und cloud kontinuierlich überwacht, kann Ihr SOC-Team die Aktionen aufdecken, die moderne ransomware definieren, bevor die Verschlüsselung beginnt.

Sehen Sie, wie die Vectra AI erkennt, was andere übersehen. Sehen Sie sich die selbstgeführte Demo an, um die verhaltensgesteuerte Erkennung in Aktion zu erleben.

Häufig gestellte Fragen