Negli ultimi mesi il nome Qilin è diventato sempre più frequente nei rapporti di cybersicurezza. Gruppo ransomware attivo dal 2022, oggi si è trasformato in una piattaforma ransomware-as-a-service che consente ad affiliati sparsi nel mondo di lanciare attacchi mirati e sofisticati. Addirittura, secondo l’ultimo studio pubblicato da Cisco Talos, Qilin è arrivato a colpire oltre quaranta organizzazioni ogni mese, con punte che in giugno e agosto hanno superato le cento vittime pubblicate sul portale del gruppo nel dark web.
Qilin, attivo da 3 anni e oggi un problema per la cybersecurity
Con oltre 50 milioni di dollari raccolti, e attacchi in diversi Paesi del mondo, tra cui Stati Uniti, Canada, Regno Unito, Francia e Germania, Qilin è considerato un bel problema per la cybersicurezza globale.
E dire che non rappresenta una novità assoluta, visto che il gruppo è attivo da oltre 3 anni. Ma la sua trasformazione in piattaforma “chiavi in mano” lo rende particolarmente pericoloso: fornisce strumenti, infrastrutture e supporto agli affiliati, che possono così derubare le aziende dei dati, cifrare i sistemi e minacciare la pubblicazione delle informazioni rubate.
Questa doppia pressione, tecnica e mediatica, mette le organizzazioni in difficoltà nel giro di poche ore, in particolare le manifatture, suo principale bersaglio dopo i servizi professionali e scientifici e il commercio all’ingrosso.
Tecniche di intrusione, esfiltrazione e non solo: le armi del ransomware
Nel suo report Cisco Talos sottolinea che non esiste un unico punto d’ingresso. Tuttavia, due fattori ricorrono frequentemente: credenziali aziendali esposte sul dark web e sistemi di accesso remoto privi di autenticazione a più fattori. In un caso documentato, gli aggressori hanno provato centinaia di connessioni alla VPN aziendale fino a trovare una falla, sfruttando l’assenza di controlli aggiuntivi. Una volta all’interno, si muovono lateralmente usando connessioni RDP e strumenti amministrativi di Windows.
L’approccio di Qilin è sorprendentemente manuale: gli operatori eseguono una ricognizione dettagliata della rete per individuare server critici e utenti con privilegi elevati, arrivando ad aprire documenti con Notepad o Paint per selezionare le informazioni più rilevanti prima della cifratura. Per trasferire i dati rubati verso servizi cloud, utilizzano archivi compressi creati con WinRAR e strumenti legittimi come Cyberduck, rendendo più difficile rilevare i flussi di esfiltrazione.
Il modello operativo del gruppo prevede una sequenza ben definita: prima l’accesso alla rete e l’esfiltrazione dei dati, poi la cifratura dei sistemi e infine l’estorsione tramite pubblicazione parziale delle informazioni sul dark web. Alcuni attacchi arrivano persino a suggerire alle vittime di rivolgersi a un avvocato indicato dagli stessi criminali per trattare il riscatto, mostrando quanto il gruppo abbia strutturato un ecosistema estorsivo completo.
Gli attacchi si concludono con due programmi distinti: uno per diffondersi rapidamente nella rete e l’altro per cifrare i file. Le informazioni trafugate vengono pubblicate sul dark web insieme alle liste delle aziende compromesse. Le versioni più recenti del ransomware cancellano backup di sistema, eliminano log, operano in ambienti virtualizzati come vCenter ed ESXi e garantiscono persistenza tramite attività pianificate.
