Qilin
Die ransomware - auch bekannt unter ihrem früheren Namen Agenda - ist eine ausgeklügelte Ransomware(RaaS)-Operation, die im Jahr 2022 auftauchte und sich seitdem zu einer der aktivsten und anpassungsfähigsten Cyber-Erpresser-Bedrohungen entwickelt hat, die durch doppelte Erpressungstaktiken, fortschrittliche Anpassungen und ein schnell wachsendes Affiliate-Netzwerk weltweit kritische Sektoren ins Visier nimmt.
Hintergrundinformationen zu Qilin
Die Gruppe firmierte ursprünglich unter dem Namen Agenda (erstmals Mitte 2022 beobachtet). Im September 2022 benannte sie sich in Qilin um (nach der mythischen Kreatur). "Qilin ransomware" wird daher manchmal auch als Agenda oder Qilin/Agenda bezeichnet.
Qilin wird als Ransomware(RaaS) betrieben und unterstützt Partner, die Angriffe mit seinen Werkzeugen, seiner Infrastruktur und seiner Leak-Site durchführen. Berichten zufolge werden die Gewinne der Partner aufgeteilt: In vielen Fällen erhält der Betreiber einen Anteil von etwa 15-20 %. In einigen Berichten wird berichtet, dass die Partner bei Lösegeldern, die bestimmte Schwellenwerte überschreiten, 80-85 % behalten (d. h. der Betreiber erhält einen kleineren Anteil), um Anreize für größere Angriffe zu schaffen.
Es gibt zwar keine eindeutige Zuordnung, aber es gibt Hinweise darauf, dass die Hauptakteure Russen sind oder ihren Sitz in der ehemaligen Sowjetunion bzw. den GUS-Staaten haben:
- Die ransomware enthält manchmal einen "Kill Switch" oder eine Sprachprüfung, um die Ausführung auf Systemen mit russischen oder osteuropäischen Gebietsschemata zu verhindern.
- Die Anwerbung von Partnern wird in russischsprachigen Untergrundforen beobachtet.
- Die Politik, keine GUS-/Russland-Organisationen (ehemalige UdSSR) anzugreifen, steht im Einklang mit vielen ransomware russischen Ursprungs.
- Angriffszeitpunkt, Code-Wiederverwendung, operative Signaturen und Sprachgebrauch entsprechen der osteuropäischen Cyberkriminellen-Kultur.
Qilin/Agenda war ursprünglich in Golang implementiert; spätere Versionen wurden in Rust und aktualisierten Tools beobachtet. Die ransomware und das Partner-Panel sind anpassbar (d. h. Partner können auswählen, welche Dateitypen oder Verzeichnisse übersprungen werden sollen, welche Verschlüsselungsmodi, welche Prozesse beendet werden sollen usw.). Die Gruppe hat ihr Angebot im Laufe der Zeit erweitert und Funktionen zu ihrer Leak-Site/ihrem Blog, "Rechtshilfe"-Komponenten für Partner, automatische Verhandlungen, DDoS-Funktionen und Spam-Unterstützung hinzugefügt.
Von Qilin betroffene Länder
Die Gruppe ist weltweit tätig, mit Opfern in Nordamerika, Europa, Asien, Lateinamerika und anderen Ländern.
ImMai 2023 hatte Qilin Opfer aus Australien, Brasilien, Kanada, Kolumbien, Frankreich, den Niederlanden, Serbien, dem Vereinigten Königreich, Japan und den USA.
VieleAngriffe vermeiden die GUS/ehemaligen Sowjetstaaten, was mit den internen Regeln der Gruppe übereinstimmt.
Zielbranchen von Qilin
- Gesundheitswesen und medizinische Dienstleistungen: Qilin hat wiederholt medizinische Dienstleister, Diagnosedienste und Bluttestlabore ins Visier genommen, die aufgrund ihrer kritischen Daten und ihrer operativen Sensibilität einen hohen Wert darstellen.
- Fertigung & Industrie: angegriffene Produktionsanlagen und Teilehersteller.
- Bauwesen, Ingenieurwesen, Infrastruktur: mehrere Berichte von Bauberatungsunternehmen und einschlägigen Firmen angegriffen.
- Technologie, Software, IT-Dienste: wegen ihrer Konnektivität und ihres Zugangs zu anderen Netzen.
- Finanzwesen, freiberufliche Dienstleistungen: gelegentliches Ziel, insbesondere wenn sensible Daten oder Kundendaten verfügbar sind.
- Konsumgüter/Industriegüter: Der jüngste mutmaßliche Angriff auf die Asahi-Gruppe (Japan, Getränke/Bier ) ist ein Beispiel für die Ausweitung auf Großkonzerne.
Die Opfer von Qilin
Qilin hat weltweit mehr als 895 Opfer angegriffen.
Qilin's Angriffsmethode
Nutzung ungeschützter Remote-Dienste (z. B. RDP, VPN), Ausnutzung von öffentlich zugänglichen Anwendungen/Software-Schwachstellen, phishing und manchmal Nutzung ungeschützter FortiGate-Geräte.
Verwendung gültiger Konten/Anmeldeinformationen (gekauft, gestohlen oder durch Quereinstieg), Token-Diebstahl/Impersonation, Prozessinjektion, möglicherweise Ausnutzung von Schwachstellen in Software oder Betriebssystem.
Löschen von Protokollen/Löschen von Systemereignisprotokollen, Deaktivierung oder Beendigung von Sicherheits-/Antivirendiensten, Verschleierung der Ausführung, Auswahl von Verzeichnissen/Dateien, die übersprungen werden sollen, um eine Erkennung zu vermeiden, regelmäßige Reinigungs-Threads.
Extraktion von Anmeldedaten aus dem Speicher, LSASS, Dumping von Anmeldedaten, Wiederverwendung von durchgesickerten Anmeldedaten oder Ausnutzung von Backup-Software-Konfigurationsspeichern.
Erkundung von Netzwerken und Hosts, Identifizierung von Freigaben und Domänencontrollern, Ermittlung von Routing-Pfaden, Zuordnung von Dateiservern und Datenspeichern.
Verwendung gültiger Anmeldeinformationen oder Remote-Dienste, Replikation über das Netzwerk; Pivoting über SMB, RPC, Remote-Befehlsausführung; Ausbreitung auf hochwertige Systeme und Backup-Server.
Zusammenfassen von Daten von Interesse (z. B. Datenbanken, Dokumente, sensible Dateien), Bereitstellen von Exfiltrationsbündeln, Komprimierung/Verschlüsselung von Exfiltrationsdaten.
Bereitstellung der ransomware . Häufig über die Befehlszeile mit Parametern ausgeführt, Verwendung einer benutzerdefinierten ausführbaren Datei (z. B. "w.exe"), möglicherweise Nutzung der Backup- oder VM-Infrastruktur zur Verbreitung der Verschlüsselung.
Hochladen gestohlener Daten auf vom Angreifer kontrollierte Server, oft vor der Verschlüsselung (Modell der doppelten Erpressung). Nutzung von verschlüsselten Kanälen oder Proxy-Tools, möglicherweise über malware .
Verschlüsselung der Daten auf den Opfersystemen (in vielen Fällen hybride Verschlüsselung mit AES-256 + RSA-2048), Löschung von Backups, Anzeige von Lösegeldforderungen, Androhung öffentlicher Datenlecks, Verweigerung des Zugangs zu Systemen.
Nutzung ungeschützter Remote-Dienste (z. B. RDP, VPN), Ausnutzung von öffentlich zugänglichen Anwendungen/Software-Schwachstellen, phishing und manchmal Nutzung ungeschützter FortiGate-Geräte.
Verwendung gültiger Konten/Anmeldeinformationen (gekauft, gestohlen oder durch Quereinstieg), Token-Diebstahl/Impersonation, Prozessinjektion, möglicherweise Ausnutzung von Schwachstellen in Software oder Betriebssystem.
Löschen von Protokollen/Löschen von Systemereignisprotokollen, Deaktivierung oder Beendigung von Sicherheits-/Antivirendiensten, Verschleierung der Ausführung, Auswahl von Verzeichnissen/Dateien, die übersprungen werden sollen, um eine Erkennung zu vermeiden, regelmäßige Reinigungs-Threads.
Extraktion von Anmeldedaten aus dem Speicher, LSASS, Dumping von Anmeldedaten, Wiederverwendung von durchgesickerten Anmeldedaten oder Ausnutzung von Backup-Software-Konfigurationsspeichern.
Erkundung von Netzwerken und Hosts, Identifizierung von Freigaben und Domänencontrollern, Ermittlung von Routing-Pfaden, Zuordnung von Dateiservern und Datenspeichern.
Verwendung gültiger Anmeldeinformationen oder Remote-Dienste, Replikation über das Netzwerk; Pivoting über SMB, RPC, Remote-Befehlsausführung; Ausbreitung auf hochwertige Systeme und Backup-Server.
Zusammenfassen von Daten von Interesse (z. B. Datenbanken, Dokumente, sensible Dateien), Bereitstellen von Exfiltrationsbündeln, Komprimierung/Verschlüsselung von Exfiltrationsdaten.
Bereitstellung der ransomware . Häufig über die Befehlszeile mit Parametern ausgeführt, Verwendung einer benutzerdefinierten ausführbaren Datei (z. B. "w.exe"), möglicherweise Nutzung der Backup- oder VM-Infrastruktur zur Verbreitung der Verschlüsselung.
Hochladen gestohlener Daten auf vom Angreifer kontrollierte Server, oft vor der Verschlüsselung (Modell der doppelten Erpressung). Nutzung von verschlüsselten Kanälen oder Proxy-Tools, möglicherweise über malware .
Verschlüsselung der Daten auf den Opfersystemen (in vielen Fällen hybride Verschlüsselung mit AES-256 + RSA-2048), Löschung von Backups, Anzeige von Lösegeldforderungen, Androhung öffentlicher Datenlecks, Verweigerung des Zugangs zu Systemen.
Von Qilin verwendete TTPs
Wie man Qilin mit Vectra AI AI erkennt
Häufig gestellte Fragen
Was ist das Hauptmotiv von Qilin?
Qilin ist finanziell motiviert. Ihre Operationen drehen sich um Erpressung mittels ransomware (Verschlüsselung + Leck). Es gibt keine offenkundigen ideologischen oder politischen Botschaften auf ihren öffentlichen Leak-Seiten oder Kampagnen.
Wie stellt Qilin sicher, dass die angeschlossenen Unternehmen die Regeln einhalten (z. B. keine Angriffe auf GUS-Regionen)?
Die ransomware kann einen sprachbasierten Kill-Switch enthalten, um die Ausführung in russischen/osteuropäischen Regionen zu verhindern. Sie setzen auch Richtlinien in ihren Partnervereinbarungen durch (z. B. das Verbot, auf GUS-/Russland-Unternehmen abzuzielen).
Kann Qilin von modernen EDR- / XDR-Systemen erkannt oder blockiert werden?
Viele Sicherheitsanbieter behaupten, dass ihre Tools das Verhalten von Qilin/Agenda erkennen können, aber die Erkennung ist aufgrund der Anpassungsfähigkeit, Verschleierung und Protokollbereinigungstaktiken von Qilin und seinen Partnern schwierig. Daher sind robuste Endpunkte, Anomalieerkennung, Netzwerksegmentierung und Sicherheitsüberwachung von entscheidender Bedeutung.
Was sind gute Frühindikatoren oder IOCs für eine Qilin-Infiltration?
Einige nützliche Indikatoren sind:
- Ungewöhnliche externe Verbindungen zu seltenen oder neuen Hosts (insbesondere Domains in .ru oder seltenen TLDs).
- PlötzlicheVersuche, auf Backup- oder Domänencontroller zuzugreifen oder diese aufzulisten.
- Ausführung von unbekannten oder umbenannten Binärdateien (z.B. "w.exe") mit Kommandozeilenargumenten.
- Löschen/Löschenvon Systemereignisprotokollen.
- Verwendungvon Proxy- oder malware (z. B. SystemBC) zum Tunneln des Datenverkehrs.
- Ungewöhnliche Scanning- oder Lateral Movement-Aktivitäten im Netz.
Wie sollten sich Unternehmen auf einen Qilin-Angriff vorbereiten?
Einige Verteidigungsstrategien sind:
- Starke Authentifizierung und Hygiene der Anmeldedaten (Multi-Faktor, geringste Rechte, Aufbewahrung von Anmeldedaten).
- Patching und Schwachstellenmanagement (insbesondere für öffentlich zugängliche Anwendungen, Backup-Software, VPNs).
- Netzwerksegmentierung und Isolierung kritischer Systeme (insbesondere Backups).
- Überwachung auf anomales Verhalten (ungewöhnliche Verbindungen, Scannen, neue Binärdateien).
- Häufige, unveränderliche Backups (einschließlich netzferner, luftgestützter Kopien).
- Planung der Reaktion auf Vorfälle und Übungen (einschließlich Tabletop-Übungen).
- Einsatz einer Lösung zur Erkennung und Reaktion auf Bedrohungen mit verhaltensbasierter Erkennung, anstatt sich nur auf Signaturen zu verlassen.
- Bedrohungsanalyse und threat hunting konzentrierten sich auf Indikatoren für Qilin-Verbündete.
Wie sieht der zeitliche Ablauf eines typischen Qilin-Angriffs von der Kompromittierung bis zu den Auswirkungen aus?
Der zeitliche Ablauf variiert zwar je nach Opfer und Partner, aber das Muster ist häufig: anfängliche Kompromittierung (über phishing), seitliche Bewegung und Erkundung über Stunden bis Tage, Exfiltration sensibler Daten, dann schnelle Verschlüsselung der Systeme, gefolgt von Lösegeldforderungen. Bei einigen Kampagnen erfolgt die Verschlüsselung innerhalb weniger Stunden nach der Kompromittierung, insbesondere wenn die Automatisierung hoch ist.
Können Opfer sicher mit Qilin verhandeln oder bezahlen?
Bei ransomware, einschließlich Qilin, wird häufig verhandelt. Die Zahlung birgt jedoch Risiken: Nichtlieferung von Entschlüsselungsschlüsseln, weitere Erpressung, Leckage trotz Zahlung oder weitere Kompromittierung. Manche Partner oder Betreiber halten sich an Abmachungen, aber es gibt keine Garantie. Die Opfer sollten die rechtlichen, rufschädigenden und betrieblichen Risiken sorgfältig abwägen und idealerweise einen erfahrenen Rechtsbeistand einschalten.
Ist ein öffentlicher Entschlüsseler für Qilin / Agenda verfügbar?
Nach den derzeit veröffentlichten offenen Quellen ist kein öffentliches Entschlüsselungsprogramm bekannt, das Qilin-verschlüsselte Daten ohne Bezahlung zuverlässig entschlüsseln kann.
Wie verhält sich Qilin im Vergleich zu anderen ransomware (z. B. LockBit, Black Basta)?
Qilin zeichnet sich durch ein hohes Maß an Flexibilität für Affiliates, Werbefunktionen (z. B. "Call-Anwalt" im Panel) und schnelles Wachstum aus. Es hat Partner aufgenommen, die durch Unterbrechungen in anderen RaaS-Geschäften verdrängt wurden (z. B. nach den Unterbrechungen von LockBit). Es neigt eher zur opportunistischen Ausrichtung als zu hochgradig maßgeschneiderten Operationen auf Staatsebene.
Was sind Warnzeichen (rote Flaggen) in Bedrohungsdaten oder Dark Web Chatter?
- Mitgliederwerbung für Qilin in Untergrundforen.
- Neue Blog-Einträge oder Opfer-Leaks, die auf einer Qilin-Leak-Site veröffentlicht werden.
- Neue Versionen von ransomware (z. B. in Rust) tauchen in malware auf.
- Öffentliche Berichte über groß angelegte Qilin-Kampagnen oder Angaben über Dutzende bis Hunderte von Opfern.