Korábban már beszámoltunk arról, hogy a Qilin (más néven Agenda) zsarolóvírus-csoport vállalta a felelősséget a Lee Enterprises-t ért jelentős kibertámadásért, amely során érzékeny adatokat loptak el és zsarolással fenyegetőztek. (A kapcsolódó cikk itt olvasható: A Qilin ransomware a Lee Enterprises-t vette célba) A csoport 2025-re a globális ransomware-fenyegetések élvonalába került, több mint 700 sikeres incidenssel 62 országban, köztük számos kritikus infrastruktúrát, kormányzati rendszert és ipari szereplőt is célba véve. A hálózat tevékenysége a Ransomware-as-a-Service (RaaS) modellre épül, amelyben a támadók önállóan hajtanak végre zsarolóvírus-kampányokat a csoport eszközeinek felhasználásával, a váltságdíjak akár 85%-át megtartva. Ez a decentralizált, de jól szervezett működési modell jelentősen növeli a támadások számát és földrajzi elterjedtségét.
A Qilin támadási lánca kifejezetten összetett, és az alábbi lépéseket alkalmazza a sikeres kompromittálás érdekében:
Kezdeti hozzáférés:
A támadók jellemzően adathalász kampányok, hitelesítő adatok eltulajdonítása, valamint ismert, de nem javított sérülékenységek (például nyilvánosan elérhető exploitok vagy RDP-alapú gyengeségek) kihasználásával szereznek kezdeti hozzáférést a célhálózatokhoz.
Oldalirányú mozgás és privilegizáció:
A támadók gyorsan rendszergazdai jogosultságot szereznek, majd leállítják a végpontvédelmi megoldásokat, eltávolítják az eseménynaplókat, és törlik a Volume Shadow Copy Service (VSS) által létrehozott, a rendszer visszaállítására szolgáló mentéseket, ezzel jelentősen megnehezítve az adatok helyreállítását.
BYOVD (Bring Your Own Vulnerable Driver) technika:
A támadók aláírt, de ismerten sérülékeny illesztőprogramokat (például eskle.sys) használnak az EDR- és antivírus-megoldások kiiktatására. Emellett DLL-sideloading módszerrel további, kernel-szintű drivereket (rwdrv.sys, hlpdrv.sys) juttatnak a rendszerbe, amelyekkel rendszerszintű hozzáférést és vezérlést szereznek.
Titkosítás és adattömörítés:
A csoport korszerű titkosítási algoritmusokat alkalmaz – többek között ChaCha20, AES és RSA-4096 megoldásokat –, és lehetőséget biztosít a támadások finomhangolására is: célba vehető a teljes fájlrendszer, kijelölt könyvtárak, vagy akár VMware ESXi snapshotok.
Többplatformos támadási képesség:
A Qilin zsarolóprogram különböző változatai Go és Rust nyelven készülnek, és mind Windows-, mind Linux-rendszerekre elérhetők. Az egyik legújabb és technikailag kifinomult megközelítésük, hogy a Linuxra fejlesztett titkosító modult Windows rendszeren belül futtatják a Windows Subsystem for Linux (WSL) szolgáltatás kihasználásával.
A Trend Micro és a Cisco Talos kutatásai szerint a Qilin-csoport egyre gyakrabban alkalmazza a WSL környezetet arra, hogy a Linuxra fejlesztett ELF formátumú titkosító programot Windows rendszeren belül futtassa.
Ez az eljárás hatékonyan megkerüli a hagyományos, PE-alapú végrehajtásokra fókuszáló Windows EDR-megoldásokat, mivel a legtöbb végpontvédelmi rendszer nem képes mélységében monitorozni a WSL-en belül zajló műveleteket.
A kártevő komponenseit jellemzően távoli eszközökkel – például WinSCP vagy Splashtop – juttatják a célrendszerre, majd szkriptek segítségével telepítik vagy aktiválják a WSL-t, és ezen keresztül futtatják a Linuxos titkosítót a kompromittált gépen.
A Qilin célpontjai között megtalálhatók:
-
-
- Ipari és gyártóvállalatok (OT-IT konvergencia kihasználása),
- Egészségügyi szolgáltatók (nagy nyomás a váltságdíj megfizetésére),
- Pénzügyi és biztosítási intézmények (nagy adatvagyon),
- Kritikus infrastruktúra szolgáltatók (víz-, energia-, közlekedés),
- Közintézmények és kormányzati rendszerek.
-
Javasolt védekezési intézkedések
A Qilin fenyegetés súlyossága miatt javasolt a többszintű, proaktív védekezési stratégia kialakítása, beleértve:
-
-
- Többfaktoros hitelesítés (MFA) minden kritikus szolgáltatáson, különösen távoli elérések esetén.
- Minimális jogosultság elvének (PoLP) alkalmazása a felhasználók és szolgáltatások szintjén.
- Sérülékenységek mielőbbi javítása, a rendszer- és alkalmazásfrissítések automatizált kezelése.
- A WSL környezetek monitorozásának integrálása végpontvédelmi és XDR-megoldásokba.
- Hálózati szegmentáció és a laterális mozgás korlátozása, különösen belső rendszerek között.
- Offline és módosíthatatlan (immutable) biztonsági mentések kialakítása, rendszeres visszaállítási teszteléssel.
- Biztonságtudatossági képzések rendszeres szervezése a felhasználói támadási felület csökkentése érdekében.
-
A Qilin-csoport megjelenése és folyamatos fejlődése jól szemlélteti a zsarolóvírus-fenyegetések evolúcióját a technikailag kifinomult és célzott támadások irányába. A Linux-alapú titkosítómodulok Windows környezetben történő, WSL-en keresztüli alkalmazása új kihívások elé állítja a vállalati biztonsági csapatokat, és rávilágít arra, hogy a védekezésnek túl kell mutatnia a hagyományos, Windows-központú védelmi megközelítéseken.