Qilin勒索软件:2025年第二季度对SLTT机构的首要威胁

2025年第二季度,Qilin勒索软件成为针对美国州、地方、部落和领土政府实体最活跃的勒索软件,占所有事件的近四分之一。该勒索软件即服务组织采用双重勒索策略,涉及数据加密和数据窃取,赎金要求高达50万美元。

Qilin:2025年第二季度对SLTT机构的首要勒索软件威胁

在2025年第二季度,Qilin成为针对美国州、地方、部落和领土(SLTT)政府实体最活跃的勒索软件,近四分之一的事件归因于其操作。该勒索软件组织的成熟运作和高攻击节奏对美国SLTT机构构成了近期威胁,可能导致因全网加密和相关恢复工作而造成的重大中断。Qilin勒索软件攻击还涉及高概率的数据窃取。Qilin向美国SLTT机构施压,赎金要求高达50万美元,以换取解密密钥和"承诺"不共享敏感数据。

本文提供威胁参与者概况,回顾对美国SLTT机构的影响,并涵盖报告的攻击技术及资源,以帮助组织预防和应对来自Qilin等参与者的勒索软件事件。

Qilin是谁?

Qilin,也称为"Agenda",是一个双重勒索的勒索软件即服务(RaaS)组织,根据Bleeping Computer,首次在2022年被观察到。双重勒索意味着除了加密数据并持有解密密钥以索取赎金外,威胁参与者还会窃取数据,并威胁出售或发布数据作为对受害者的额外杠杆。据Sophos报道,Qilin在Tor和开放互联网上运营数据泄露网站,在那里点名羞辱受害者,以施加额外压力来获取赎金。RaaS意味着Qilin操作有一个核心网络犯罪团伙,他们开发并宣传其工具和基础设施,供其他网络犯罪分子进行攻击。注册该服务的网络犯罪分子被称为附属机构。据报道,Qilin附属机构赚取高达80-85%的赎金,而将另外15-20%上交给组织领导层。

在2025年第二季度,Qilin取代RansomHub成为针对美国SLTT机构最活跃的勒索软件,从第一季度向多州信息共享与分析中心(MS-ISAC)报告事件的9%增加到第二季度的24%。这是一个重要的发展,因为RansomHub在之前三个季度一直是领先的勒索软件。来自GBHackers、The Hacker News和Qualys的开源报告表明,在RansomHub操作于4月突然停止活动后,许多前RansomHub附属机构转向了Qilin(RaaS)操作,这帮助Qilin成为跨所有行业的主要勒索软件威胁之一。

Qilin对美国SLTT机构的影响

在2023年12月至2025年6月30日期间,成员向MS-ISAC报告了29起Qilin美国SLTT勒索软件事件,其中55%的事件在2025年第二季度报告。这个时间线突显了这一威胁如何迅速从后台操作转变为针对公共组织的最多产勒索软件。MS-ISAC观察到广泛的美国SLTT受害者,包括市政府、县政府、教育(K-12和高等教育)、医疗保健和应急服务(例如执法部门)。

向MS-ISAC报告的一起美国SLTT事件始于包含恶意链接的网络钓鱼电子邮件。在获得初始访问权限后,对手针对一个具有弱密码和不必要管理员访问权限的用户账户。攻击者随后创建了新的管理员账户,用于全网加密数据。该事件的赎金要求为50万美元,但受害者拒绝支付。

CIS网络事件响应团队(CIRT)完成了一起受Qilin勒索软件影响的美国SLTT的事件响应案例。该实体报告其所有服务器被加密,Qilin的赎金记录通知他们,其敏感信息将被放置在其数据泄露博客上。该事件响应案例的进一步细节将向MS-ISAC成员提供。

在向MS-ISAC报告的其他事件中,Qilin威胁参与者声称在其双重勒索攻击中窃取了高达500 GB的数据,包括敏感信息,如个人可识别信息(PII)和财务数据。

RaaS组织的战术、技术和程序

由于Qilin是一个RaaS产品,附属机构的战术、技术和程序(TTP)在不同事件中可能有所不同。尽管如此,SOCRadar分享说,Qilin附属机构利用的常见初始访问向量包括网络钓鱼、利用面向公众的应用程序以及使用外部远程服务,如远程桌面协议(RDP)。Sophos分析的2025年4月网络钓鱼事件涉及向ScreenConnect远程监控和管理工具的托管服务提供商(MSP)发送虚假警报。在此事件中,攻击者通过网络钓鱼获取了ScreenConnect的管理凭证,以访问MSP环境。Qilin威胁参与者随后利用初始访问权限对MSP的客户发起下游勒索软件攻击。

根据威胁情报公司PRODAFT,2025年6月5日,“威胁参与者积极利用FortiGate漏洞(CVE-2024-21762、CVE-2024-55591等)来部署Qilin勒索软件”。此外,事件响应公司OP Innovate评估认为,与Qilin基础设施相关的威胁参与者在该漏洞公开之前利用了CVE-2025-31324,这是一个SAP NetWeaver Visual Composer中的漏洞。由于易于利用和影响,该漏洞的CVSS评分为10,威胁参与者通常在攻击中上传Web shell。

Qilin的TTP在初始访问后也可能有所不同,但根据Cybereason,该RaaS产品据报道为附属机构提供了强大的附属面板、恶意基础设施以及用Rust和C编写的勒索软件二进制文件。在OP Innovate报告中,研究人员解释说,已知Qilin威胁参与者使用Cobalt Strike进行后期利用。在单独的报告中,网络安全公司Trend Micro观察到该组织使用SmokeLoader恶意软件和名为NETXLOADER的.NET编译加载器。此外,Sophos观察到Qilin在环境中使用其他Windows工具,包括PsExec、来自GitHub的NetExec和WinRM。Sophos还报告说,Qilin使用WinRAR收集文件并通过easyupload[.]io准备外泄。

针对Qilin等RaaS组织的集体防御

为了增强对Qilin的防御,请作为付费成员加入MS-ISAC。MS-ISAC成员在Qilin勒索软件威胁出现时收到了早期报告,包括在季度威胁报告和月度会员电话会议中。此外,MS-ISAC成员定期收到为美国SLTT网络防御操作员和决策者量身定制的更详细报告,包括具体的事件响应发现和妥协指标。此信息旨在提供可操作的威胁情报,直接支持主动防御和明智决策。

准备在CIS CTI团队的支持下加强您的勒索软件防御吗?加入MS-ISAC。截至2025年6月23日,MS-ISAC推出了基于费用的会员资格。任何可能提及的免费MS-ISAC服务不再适用。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次