Il ransomware Qilin, noto anche come Agenda, Gold Feather e Water Galura, si sta affermando tra i gruppi criminali più attivi nel panorama globale delle minacce informatiche. Dall’inizio del 2025, Qilin ha colpito oltre 40 vittime al mese, con picchi che in alcuni mesi hanno raggiunto i 100 casi. Questo gruppo, attivo da luglio 2022 e composto da criminali informatici di lingua russa, predilige settori come la manifattura, i servizi professionali e scientifici e il commercio all’ingrosso, colpendo prevalentemente organizzazioni negli Stati Uniti, Canada, Regno Unito, Francia e Germania.

Modalità di attacco

L'attacco tipico di Qilin inizia spesso con l’uso di credenziali amministrative sottratte e vendute nel dark web, sfruttate per ottenere accesso iniziale tramite VPN. Segue poi una fase di ricognizione e movimento laterale nella rete, realizzata sfruttando strumenti come Mimikatz, WebBrowserPassView e SharpDecryptPwd per estrarre credenziali e dati sensibili, che vengono poi esfiltrati tramite server SMTP. I criminali eseguono comandi per cancellare i log di sistema, abilitare privilegi avanzati e recuperare password salvate, con l’obiettivo di massimizzare la compromissione.

Abuso di strumenti legittimi e tecniche avanzate

Un elemento distintivo delle campagne Qilin è l'abuso di strumenti legittimi di Remote Monitoring and Management (RMM) come AnyDesk, Chrome Remote Desktop e ScreenConnect, sia per mantenere l’accesso remoto che per complicare la rilevazione da parte dei sistemi di sicurezza. In alcuni casi, sono state utilizzate tecniche BYOVD (Bring Your Own Vulnerable Driver), attraverso driver vulnerabili come eskle.sys, per disattivare gli antivirus e ottenere il pieno controllo dei sistemi.

Fasi finali dell’attacco e impatto

L’attacco si conclude con l’esecuzione del ransomware vero e proprio, che cifra i file e rilascia una nota di riscatto in ogni cartella colpita, dopo aver cancellato i log degli eventi e le copie shadow di Windows tramite VSS, rendendo molto difficoltoso il ripristino dei dati. In operazioni avanzate, Qilin è riuscito a impiegare varianti Linux del ransomware direttamente su sistemi Windows sfruttando strumenti di amministrazione IT e tecniche cross-platform, estendendo così la portata della compromissione anche agli ambienti virtualizzati moderni come Nutanix AHV, oltre a VMware.

Tecniche di accesso iniziale e attacchi ai backup

Qilin utilizza inoltre campagne di spear-phishing e pagine CAPTCHA false per sottrarre credenziali e facilitare l’accesso iniziale. L’attacco ai sistemi di backup, in particolare Veeam, è un aspetto critico: vengono estratte credenziali da più database di backup per compromettere la capacità di disaster recovery dell’azienda vittima, massimizzando la pressione per il pagamento del riscatto.