Qilin Ransomware Group
Qilin (auch bekannt als Agenda, Gold Feather und Water Galura) hat sich zu einer der produktivsten Ransomware-as-a-Service (RaaS)-Gruppen entwickelt. Seit Anfang 2025 verzeichnete die Gruppe mehr als 40 Opfer pro Monat (die einzige Ausnahme war der Januar). Im Juni erreichte sie mit rund 100 Einträgen auf Leak-Sites ihren Höhepunkt, und im August und September 2025 wurden jeweils 84 Opfer registriert. Qilin ist seit etwa Juli 2022 aktiv und stellt aufgrund seines Tempos und seiner Taktiken einen Hochrisikoakteur für Unternehmen weltweit dar.
Inhaltsverzeichnis
Wer wurde getroffen – Geographie und Industrien
Die Analyse der Telemetriedaten des Vorfalls zeigt, dass sich die Opfer von Qilin auf Nordamerika und Westeuropa konzentrieren. Zu den am stärksten betroffenen Ländern zählen die USA, Kanada, Großbritannien, Frankreich und Deutschland. Die Gruppe bevorzugt bestimmte Branchen: Das verarbeitende Gewerbe macht etwa 23 % der beobachteten Ziele aus, professionelle und wissenschaftliche Dienstleistungen etwa 18 % und der Großhandel etwa 10 %.
Erster Zugang und frühes Standbein
Ermittler gehen davon aus, dass viele Angriffe auf Qilin-Tochterunternehmen mit der Offenlegung von Administrator-Anmeldeinformationen aus Darknet-Repositories beginnen. Angreifer nutzen diese Anmeldeinformationen, um sich über eine VPN-Schnittstelle anzumelden und anschließend RDP-Verbindungen zu Domänencontrollern und anderen kompromittierten Endpunkten herzustellen. Anschließend beginnen sie mit der Umgebungskartierung und einer eingehenderen Aufklärung.
Credential Harvesting und Tools
Qilin-Kampagnen nutzen in großem Umfang Tools und Techniken zum Sammeln von Anmeldeinformationen. Betreiber und Partner nutzen Mimikatz zusammen mit Dienstprogrammen wie WebBrowserPassView.exe, BypassCredGuard.exe und SharpDecryptPwd, um geheime Informationen aus Browsern, Systemspeichern und anderen Anwendungen abzugreifen. Die gesammelten Anmeldeinformationen werden mithilfe von Visual Basic-Skripten auf externe SMTP-Server exfiltriert. Zu den beobachteten Mimikatz-Einsätzen gehörten Aktionen, um:
- Löschen Sie Windows-Ereignisprotokolle und löschen Sie anderweitig Spuren.
- SeDebugPrivilege aktivieren;
- Extrahieren Sie gespeicherte Chrome-Passwörter aus SQLite-Datenbanken.
- Wiederherstellen von Anmeldeinformationen aus früheren Anmeldungen; und
- Sammeln Sie Konfiguration und Anmeldeinformationen für RDP, SSH und Citrix.
Leben vom Land und Missbrauch legitimer Werkzeuge
Um sich unauffällig einzufügen, mischen die Bedrohungsakteure offensichtliche Malware mit legitimen Systemdienstprogrammen und bekannten Administratortools. Sie wurden dabei beobachtet, wie sie Dateien mit mspaint.exe, notepad.exe und iexplore.exe öffneten, um Inhalte manuell auf vertrauliche Informationen zu untersuchen, und den echten Cyberduck-Client nutzten, um ausgewählte Dateien auf Remote-Server zu übertragen und dabei ihre böswilligen Absichten zu verbergen.
Wie gestohlene Anmeldeinformationen ausgenutzt werden
Sobald die Anmeldeinformationen vorliegen, erweitern Qilin-Akteure ihre Berechtigungen und verbreiten sich lateral. Erhöhte Zugriffsrechte wurden genutzt, um eine Vielzahl von Produkten für Remote-Monitoring und -Management (RMM) sowie Remote-Access zu installieren – AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist und ScreenConnect. Allerdings konnten Forscher (Talos) nicht immer feststellen, ob die einzelnen Produkte primär für laterale Bewegungen oder für die dauerhafte Fernsteuerung genutzt wurden.
Umgehung, Persistenz und Post-Exploitation
Um einer Erkennung zu entgehen, führen die Angreifer PowerShell-Sequenzen aus, die AMSI deaktivieren, die TLS-Zertifikatsvalidierung abschalten und den eingeschränkten Administratormodus aktivieren. Sie setzen außerdem Kill-Switch-ähnliche Dienstprogramme wie Dark-Kill und HRSword ein, um Sicherheitsprodukte zu deaktivieren. Für Persistenz und verdeckte Befehls- und Steuerungsfunktionen nutzen sie Cobalt Strike und SystemBC.
Ransomware-Bereitstellung und -Bereinigung
Die letzte Phase ist die Bereitstellung der Qilin-Ransomware: Dateien werden verschlüsselt, Lösegeldforderungen werden in verschlüsselten Ordnern abgelegt, Windows-Ereignisprotokolle werden gelöscht und alle vom Volume Shadow Copy Service (VSS) erstellten Schattenkopien werden gelöscht, um Wiederherstellungsbemühungen zu vereiteln.
Erweiterte hybride Angriffsketten (Linux-Binärdatei unter Windows + BYOVD)
Bei einigen komplexen Qilin-Angriffen wurden mehrere fortschrittliche Techniken kombiniert. Die Angreifer setzten eine Linux-kompilierte Ransomware-Binärdatei ein, führten sie aber auf Windows-Hosts aus, kombinierten diese Nutzlast mit einer BYOVD-Technik (Bring Your Own Vulnerable Driver), um Abwehrmechanismen zu deaktivieren, und nutzten legitime IT-Management-Tools, um sich in der Umgebung zu bewegen und Nutzlasten auszuführen. Bei diesen Angriffen wurde der Treiber eskle.sys als anfällige Treiberkomponente identifiziert, die verwendet wurde, um Sicherheitskontrollen zu deaktivieren, Prozesse zu beenden und der Erkennung zu entgehen.
Backup-Targeting und maßgeschneiderter Diebstahl von Anmeldeinformationen
Qilin hatte es speziell auf die Backup-Infrastruktur von Veeam abgesehen. Die Angreifer nutzten spezielle Tools zur Extraktion von Anmeldeinformationen für Backup-Datenbanken, um diese zu stehlen. So kompromittierten sie systematisch die Disaster-Recovery-Plattformen der Unternehmen und setzten anschließend Ransomware ein. Das erhöhte das Risiko für die Opfer deutlich.
Phishing und gefälschte CAPTCHA-Übermittlungsmechanismen
Neben legitimem Kontomissbrauch begannen bestimmte Angriffe mit Spear-Phishing oder gefälschten CAPTCHA-Seiten im ClickFix-Stil, die auf Cloudflare R2 gehostet wurden. Diese Seiten scheinen Nutzdaten von Informationsdieben zu liefern, die Anmeldeinformationen sammeln und diese dann wiederverwenden, um ersten Netzwerkzugriff zu erhalten.
Zu den wichtigsten beobachteten Techniken und Infrastrukturen gehören:
- Bereitstellen einer SOCKS-Proxy-DLL, um Remotezugriff und Befehlsausführung zu ermöglichen.
- Missbrauch von ScreenConnect zum Ausführen von Erkennungsbefehlen und Netzwerk-Scan-Tools zum Auffinden von Zielen für Lateral Movement.
- Zielen Sie auf Veeam-Backup-Systeme ab, um Backup-Anmeldeinformationen aus mehreren Datenbanken zu extrahieren.
- Verwendung des eskle.sys-Treibers in BYOVD-Angriffen, um Sicherheitssoftware zu neutralisieren und Abwehrprozesse zu beenden.
- Bereitstellen von PuTTY-SSH-Clients für die seitliche Migration auf Linux-Hosts.
- Ausführen von SOCKS-Proxy-Instanzen in verschiedenen Verzeichnissen, um den C2-Verkehr über die COROXY-Hintertür zu verschleiern.
- Verwenden von WinSCP zum Verschieben der Linux-Ransomware-Binärdatei auf Windows-Systeme.
- Nutzung von SRManager.exe von Splashtop Remote, um die Linux-Ransomware-Binärdatei direkt auf Windows-Computern auszuführen.
Plattformübergreifende Auswirkungen und Virtualisierungsziele
Die Linux-Binärdatei bietet plattformübergreifende Funktionalität: Eine einzelne Nutzlast kann sowohl Linux- als auch Windows-Systeme in einer Umgebung beeinträchtigen. Kürzlich wurden Qilin-Beispiele aktualisiert, um Nutanix-AHV-Umgebungen zu erkennen. Dies zeigt, dass die Gruppe ihre Angriffe über traditionelle VMware-Bereitstellungen hinaus auf moderne hyperkonvergente Infrastrukturen ausweitet.
Zusammenfassung
Qilins Angriff kombiniert den Diebstahl von Anmeldeinformationen, den Missbrauch legitimer Verwaltungstools, BYOVD-Techniken, gezielte Angriffe auf Backup-Systeme und plattformübergreifende Ransomware, um die Wirkung zu maximieren und eine Entdeckung zu vermeiden. Verteidiger sollten der Hygiene der Anmeldeinformationen, der Multifaktor-Authentifizierung an Remote-Access-Schnittstellen, der Segmentierung von Backup-Systemen, einer strengen Überwachung auf anomale Nutzung legitimer Remote-Management-Tools und Kontrollen zur Erkennung treiberbasierter BYOVD-Aktivitäten Priorität einräumen. Diese Maßnahmen verringern die Wahrscheinlichkeit, dass gestohlene Anmeldeinformationen oder ein einzelner Angriffspunkt zu einem großflächigen Einsatz von Ransomware führen.
