Хакерське угруповання Qilin (також відоме як Agenda, Gold Feather, Water Galura) стало одним із найактивніших у 2025 році. Його нова гібридна атака поєднує Linux-пейлоад і метод BYOVD (Bring Your Own Vulnerable Driver), що дозволяє обходити антивіруси та знищувати резервні копії. За даними Cisco Talos, з початку 2025 року Qilin щомісяця атакує понад 40 компаній, а у червні кількість витоків сягнула 100. Основними цілями стали підприємства у США, Канаді, Великій Британії, Франції та Німеччині, зокрема у виробничому (23%) та науковому (18%) секторах.
Хакери отримують початковий доступ через зламані VPN-акаунти, після чого використовують RDP-з’єднання для проникнення в домен-контролер. Далі йде розвідка мережі, збір паролів за допомогою Mimikatz, WebBrowserPassView і скриптів VBScript, що відправляють дані на зовнішній SMTP-сервер.
Для обходу систем безпеки застосовуються легітимні процеси — mspaint.exe, notepad.exe, iexplore.exe, а також Cyberduck для передачі файлів на віддалені сервери. Потім зловмисники використовують викрадені креденшели для підвищення привілеїв і встановлення AnyDesk, Chrome Remote Desktop, ScreenConnect та інших RMM-програм.
Щоб залишитися непоміченими, Qilin вимикає AMSI, блокує TLS-перевірки, знищує журнали подій і тіньові копії Windows. У завершальній фазі відбувається шифрування файлів та розгортання вимоги викупу у кожній директорії.
Група Qilin діє з 2022 року як ransomware-as-a-service (RaaS). Новітні зразки її шкідливого ПЗ виявили кросплатформену функціональність, що дозволяє заражати як Windows, так і Linux системи одним пейлоадом.
За інформацією Trend Micro, у новій кампанії Qilin використовує легальні засоби адміністрування, як-от Atera Networks і Splashtop, для розгортання ransomware. Особливо небезпечним є прицільне знищення Veeam-інфраструктури — систем резервного копіювання, що паралізує відновлення даних після атаки. Також виявлено застосування COROXY backdoor для маскування трафіку, WinSCP для передачі файлів і BYOVD-експлойту eskle.sys, який вимикає захисні драйвери. Останні зразки Qilin навіть виявляють Nutanix AHV, демонструючи перехід до атак на віртуалізаційні середовища підприємств.
Атаки Qilin підтверджують, що сучасні ransomware-операції перетворюються на повноцінні хакерські кампанії з використанням корпоративних інструментів. Вони знищують резервні копії, обходять антивіруси і паралізують навіть складні системи.
Захист полягає не лише в оновленнях і сегментації мережі, а й у жорсткому контролі за RMM-сервісами, багаторівневій автентифікації та моніторингу дій адміністраторів.
