Qilin
Le groupe de ransomwares Qilin - également connu sous le nom d'Agenda - est une opération sophistiquée de Ransomware-as-a-Service (RaaS) apparue en 2022 et devenue depuis l'une des menaces de cyber-extorsion les plus actives et les plus adaptables, ciblant des secteurs critiques dans le monde entier grâce à des tactiques de double extorsion, à une personnalisation avancée et à un réseau d'affiliés en pleine expansion.
Informations générales sur Qilin
Le groupe opérait à l'origine sous le nom d'Agenda (observé pour la première fois à la mi-2022). En septembre 2022, il s'est rebaptisé Qilin (d'après la créature mythique). Le "Qilin ransomware" est donc parfois appelé Agenda ou Qilin/Agenda.
Qilin fonctionne comme un "Ransomware-as-a-Service" (RaaS), soutenant les affiliés qui mènent des attaques à l'aide de ses outils, de son infrastructure et de son site de fuite. La répartition des bénéfices des affiliés est signalée : dans de nombreux cas, elle est de l'ordre de 15 à 20 % pour l'opérateur. Dans certains rapports, pour les rançons dépassant certains seuils, les affiliés peuvent conserver 80 à 85 % (c'est-à-dire que l'opérateur prend une part plus petite) afin d'encourager les attaques plus importantes.
Bien qu'il n'y ait pas d'attribution définitive, tout porte à croire que les principaux opérateurs sont russes ou basés dans les anciens États soviétiques ou de la CEI :
- Le binaire du ransomware comprend parfois un "kill switch" ou un contrôle de la langue afin d'éviter l'exécution sur des systèmes russes ou d'Europe de l'Est.
- Le recrutement d'affiliés est observé sur des forums clandestins en langue russe.
- La politique consistant à ne pas attaquer les organisations de la CEI / Russie (ex-URSS) est conforme à celle de nombreux groupes de ransomwares d'origine russe.
- Le calendrier des attaques, la réutilisation du code, les signatures opérationnelles et l'utilisation de la langue sont tous conformes à la culture cybercriminelle de l'Europe de l'Est.
Qilin/Agenda était initialement implémenté en Golang; des versions ultérieures ont été observées en Rust et dans des outils mis à jour. La charge utile du ransomware et le panneau d'affiliation sont personnalisables (c'est-à-dire que les affiliés peuvent sélectionner les types de fichiers ou les répertoires à ignorer, les modes de cryptage, les processus à tuer, etc.) Le groupe a amélioré ses offres au fil du temps, en ajoutant des fonctionnalités à son site/blog de fuite, des composants d'"assistance juridique" pour les affiliés, une négociation automatisée, des capacités DDoS et une assistance pour les spams.
Pays ciblés par Qilin
Les activités du groupe sont mondiales, avec des victimes en Amérique du Nord, en Europe, en Asie, en Amérique latine, etc.
Enmai 2023, le site de fuite de Qilin a fait des victimes en Australie, au Brésil, au Canada, en Colombie, en France, aux Pays-Bas, en Serbie, au Royaume-Uni, au Japon et aux États-Unis.
De nombreusesattaques évitent les pays de la CEI et de l'ex-Union soviétique, conformément aux règles internes du groupe.
Industries ciblées par Qilin
- Soins de santé et services médicaux : Qilin a ciblé à plusieurs reprises les fournisseurs de soins médicaux, les services de diagnostic et les laboratoires d'analyses sanguines, qui représentent une valeur élevée en raison des données critiques et de la sensibilité opérationnelle.
- Industrie manufacturière et industrielle : a attaqué des installations de production et des fabricants de pièces détachées.
- Construction, ingénierie, infrastructure : plusieurs rapports de bureaux d'études en construction et d'entreprises concernées ont été attaqués.
- Technologie, logiciels, services informatiques : en raison de leur connectivité et de leur accès à d'autres réseaux.
- Finance, services professionnels : ciblage occasionnel, en particulier lorsque des données sensibles ou des données sur les clients sont disponibles.
- Biensde consommation/ biens industriels : la récente attaque revendiquée contre le groupe Asahi (Japon, boissons/bière) est un exemple d'expansion vers les grands conglomérats.
Les victimes de Qilin
Qilin a touché plus de 895 victimes dans le monde.
Méthode d'attaque de Qilin
Utilisation de services à distance exposés (par exemple RDP, VPN), exploitation d'applications / de vulnérabilités logicielles orientées vers le public, campagnes de phishing / phishing , et parfois utilisation d'appareils FortiGate exposés.
Utilisation de comptes ou d'informations d'identification valides (achetés, volés ou traversée latérale), vol de jetons ou usurpation d'identité, injection de processus, éventuellement exploitation de vulnérabilités dans le logiciel ou le système d'exploitation.
Suppression des journaux / effacement des journaux d'événements du système, désactivation ou arrêt des services de sécurité/antivirus, obscurcissement de l'exécution, sélection des répertoires/fichiers à ignorer pour éviter la détection, fils de nettoyage périodiques.
Extraction d'informations d'identification à partir de la mémoire, LSASS, vidage d'informations d'identification, réutilisation d'informations d'identification ayant fait l'objet d'une fuite, ou exploitation des stocks de configuration des logiciels de sauvegarde.
Reconnaissance du réseau et de l'hôte, identification des partages, des contrôleurs de domaine, découverte des chemins d'acheminement, cartographie des serveurs de fichiers et des magasins de données.
Utilisation d'informations d'identification valides ou de services à distance, réplication sur le réseau ; pivotement via SMB, RPC, exécution de commandes à distance ; propagation vers des systèmes de grande valeur et des serveurs de sauvegarde.
Agrégation des données d'intérêt (par exemple, bases de données, documents, fichiers sensibles), mise en place de paquets d'exfiltration, compression/chiffrement des données exfiltrées.
Déploiement de la charge utile du ransomware. Souvent exécuté via une ligne de commande avec des paramètres, utilisation d'un exécutable personnalisé (par exemple "w.exe"), éventuellement en tirant parti d'une sauvegarde ou d'une infrastructure de machines virtuelles pour propager le chiffrement.
Téléchargement des données volées sur des serveurs contrôlés par l'attaquant, souvent avant le cryptage (modèle de double extorsion). Utilisation de canaux cryptés ou d'outils proxy, éventuellement via des chaînes malware .
Chiffrement des données sur les systèmes des victimes (chiffrement hybride AES-256 + RSA-2048 dans de nombreux cas), suppression des sauvegardes, affichage de notes de rançon, menaces de fuites de données publiques, refus d'accès aux systèmes.
Utilisation de services à distance exposés (par exemple RDP, VPN), exploitation d'applications / de vulnérabilités logicielles orientées vers le public, campagnes de phishing / phishing , et parfois utilisation d'appareils FortiGate exposés.
Utilisation de comptes ou d'informations d'identification valides (achetés, volés ou traversée latérale), vol de jetons ou usurpation d'identité, injection de processus, éventuellement exploitation de vulnérabilités dans le logiciel ou le système d'exploitation.
Suppression des journaux / effacement des journaux d'événements du système, désactivation ou arrêt des services de sécurité/antivirus, obscurcissement de l'exécution, sélection des répertoires/fichiers à ignorer pour éviter la détection, fils de nettoyage périodiques.
Extraction d'informations d'identification à partir de la mémoire, LSASS, vidage d'informations d'identification, réutilisation d'informations d'identification ayant fait l'objet d'une fuite, ou exploitation des stocks de configuration des logiciels de sauvegarde.
Reconnaissance du réseau et de l'hôte, identification des partages, des contrôleurs de domaine, découverte des chemins d'acheminement, cartographie des serveurs de fichiers et des magasins de données.
Utilisation d'informations d'identification valides ou de services à distance, réplication sur le réseau ; pivotement via SMB, RPC, exécution de commandes à distance ; propagation vers des systèmes de grande valeur et des serveurs de sauvegarde.
Agrégation des données d'intérêt (par exemple, bases de données, documents, fichiers sensibles), mise en place de paquets d'exfiltration, compression/chiffrement des données exfiltrées.
Déploiement de la charge utile du ransomware. Souvent exécuté via une ligne de commande avec des paramètres, utilisation d'un exécutable personnalisé (par exemple "w.exe"), éventuellement en tirant parti d'une sauvegarde ou d'une infrastructure de machines virtuelles pour propager le chiffrement.
Téléchargement des données volées sur des serveurs contrôlés par l'attaquant, souvent avant le cryptage (modèle de double extorsion). Utilisation de canaux cryptés ou d'outils proxy, éventuellement via des chaînes malware .
Chiffrement des données sur les systèmes des victimes (chiffrement hybride AES-256 + RSA-2048 dans de nombreux cas), suppression des sauvegardes, affichage de notes de rançon, menaces de fuites de données publiques, refus d'accès aux systèmes.
TTP utilisées par Qilin
Comment détecter Qilin avec Vectra AI
Foire aux questions
Quel est le principal motif de Qilin ?
Qilin est motivé par des raisons financières. Ses opérations tournent autour de l'extorsion par ransomware (cryptage + fuite). Il n'y a pas de message idéologique ou politique manifeste dans leurs sites ou campagnes de fuites publiques.
Comment Qilin s'assure-t-il que les affiliés respectent les règles (par exemple, qu'ils n'attaquent pas les régions de la CEI) ?
Le binaire du ransomware peut inclure un kill switch basé sur la langue pour empêcher l'exécution dans les localités russes ou d'Europe de l'Est. Ils appliquent également des politiques dans leurs accords d'affiliation (par exemple, en interdisant le ciblage des entités de la CEI ou de la Russie).
Qilin peut-il être détecté ou bloqué par les systèmes EDR / XDR modernes ?
De nombreux fournisseurs de solutions de sécurité affirment que leurs outils peuvent détecter le comportement de Qilin/Agenda, mais la détection est difficile en raison de la personnalisation, de l'obscurcissement et des tactiques de nettoyage des journaux utilisées par Qilin et ses affiliés. Il est donc essentiel de disposer de points d'extrémité robustes, d'une détection des anomalies, d'une segmentation du réseau et d'une surveillance de la sécurité.
Quels sont les bons indicateurs précoces ou les COI pour l'infiltration de Qilin ?
Voici quelques indicateurs utiles :
- Connexions externes inhabituelles à des hôtes rares ou nouveaux (en particulier des domaines en .ru ou des TLD rares).
- Tentativessoudaines d'accès ou d'énumération des contrôleurs de sauvegarde ou de domaine.
- Exécution de binaires inconnus ou renommés (par exemple "w.exe") avec des arguments de ligne de commande.
- Deletion/ clearing of system event logs.
- Utilisationd'un proxy ou d'un malware SOCKS (par exemple SystemBC) pour tunneliser le trafic.
- Activité inhabituelle de balayage ou de mouvement latéral dans le réseau.
Comment les organisations doivent-elles se préparer à résister à une attaque de Qilin ?
Voici quelques stratégies de défense :
- Authentification forte et hygiène des informations d'identification (multi-facteurs, moindre privilège, coffre-fort des informations d'identification).
- la gestion des correctifs et des vulnérabilités (en particulier pour les applications publiques, les logiciels de sauvegarde et les réseaux privés virtuels).
- Segmentation du réseau et isolation des systèmes critiques (notamment les sauvegardes).
- Surveillance des comportements anormaux (connexions inhabituelles, balayage, nouveaux binaires).
- Des sauvegardes fréquentes et immuables (y compris des copies hors réseau et sous air).
- Planification et exercices de réponse aux incidents (y compris les exercices de simulation).
- Utilisation d'une solution de détection et de réponse aux menaces avec une détection basée sur le comportement plutôt que de s'appuyer uniquement sur des signatures.
- La veille et la chasse aux menaces se sont concentrées sur les indicateurs des affiliés de Qilin.
Quelle est la chronologie d'une attaque Qilin typique, de la compromission à l'impact ?
Bien que les délais varient en fonction de la victime et de l'affilié, le schéma est souvent le suivant : compromission initiale (via RDP / exploit / phishing), mouvement latéral et reconnaissance pendant des heures ou des jours, exfiltration de données sensibles, puis chiffrement rapide des systèmes, suivi d'une demande de rançon. Certaines campagnes déploient le chiffrement dans les heures qui suivent la compromission, en particulier lorsque le degré d'automatisation est élevé.
Les victimes peuvent-elles négocier ou payer Qilin en toute sécurité ?
La négociation est courante dans les ransomwares, y compris Qilin. Cependant, payer comporte des risques : non-livraison des clés de décryptage, extorsion supplémentaire, fuite malgré le paiement ou compromission supplémentaire. Certains affiliés ou opérateurs peuvent honorer des accords, mais il n'y a aucune garantie. Les victimes doivent évaluer soigneusement les risques juridiques, opérationnels et de réputation, et, dans l'idéal, faire appel à un conseiller juridique et à un spécialiste de la réponse aux incidents.
Existe-t-il un décrypteur public pour Qilin / Agenda ?
Selon les sources ouvertes actuellement publiées, aucun décrypteur public n' est connu pour décrypter de manière fiable les données cryptées par Qilin sans paiement.
Comment Qilin se compare-t-il à d'autres groupes de ransomware (par exemple LockBit, Black Basta) ?
Qilin est unique en raison de sa grande flexibilité en matière d'affiliation, de ses fonctions promotionnelles (par exemple, "call lawyer" dans le panel) et de sa croissance rapide. Il a absorbé des affiliés déplacés par des perturbations dans d'autres opérations RaaS (par exemple, après les perturbations de LockBit). Elle tend vers un ciblage opportuniste plutôt que vers des opérations très personnalisées au niveau de l'État.
Quels sont les signes d'alerte (drapeaux rouges) dans les renseignements sur les menaces ou les discussions sur le dark web ?
- Postes de recrutement d'affiliés pour Qilin sur des forums clandestins.
- Nouveaux articles de blog ou fuites de victimes publiés sur un site de fuites Qilin.
- De nouvelles versions des binaires du ransomware Qilin (par exemple en Rust) apparaissent dans les dépôts de malware .
- Des rapports publics faisant état de campagnes de Qilin à grande échelle ou de dizaines, voire de centaines de victimes.