執筆者
Qilinランサムウェアの活動急増は2025年後半を通じて続いており、同グループはリークサイト上で月あたり40件を超える被害者リストを公開している。
Cisco Talosの新たな調査結果によると、攻撃は主に製造業を標的としており、次いで専門・科学サービス、卸売業が続く。
この継続的な公開ペースは、Qilinが世界でも最も活発で被害の大きいランサムウェア運用の一つであることを浮き彫りにしている。
二重恐喝モデルを用い、同グループはデータを暗号化すると同時に、身代金が支払われない場合は盗んだ情報を漏えいさせると脅迫する。
拡大する世界的な活動範囲
2022年半ばに出現して以来、旧称AgendaのQilinは、RaaS(Ransomware-as-a-Service)モデルを通じて活動範囲を拡大してきた。
アフィリエイトはQilinのプラットフォームとツールを使用し、米国、カナダ、英国、フランス、ドイツの組織を侵害している。
Talosはデータ漏えいの急増を確認しており、2025年6月と8月にはいずれも被害者投稿が100件に達するピークが見られた。
最近の痕跡から、攻撃者の一部スクリプトでキリル文字の文字エンコーディングが使用されていたことが示唆されており、東欧またはロシア語圏との関連の可能性がある。
RaaS(Ransomware-as-a-Service)について詳しく読む:高度なアフィリエイトプログラムを備えたLynxランサムウェアグループが明らかに
Qilinのツールと戦術
最新レポートでTalosは、データ持ち出し(エクスフィルトレーション)にオープンソースのファイル転送ツールCyberduckが使用され、信頼されたクラウドサービスを悪用して悪性トラフィックを隠蔽していたことを特定した。
調査担当者はまた、notepad.exeやmspaint.exeといった標準のWindowsプログラムに関する異常な活動も確認しており、これらは持ち出し前に機密ファイルを閲覧する目的で使用されていた。
Qilinのオペレーターは攻撃中に2種類の暗号化ツールを展開することが多く、1つはPsExec を介してシステム間を横展開し、もう1つは単一ホストから実行されて複数のネットワーク共有を暗号化する。
同レポートは、さらにいくつかの追加戦術を強調している:
-
多要素認証(MFA)のないVPNへアクセスするため、漏えいした管理者資格情報を悪用
-
MimikatzおよびNirSoftユーティリティを用いた認証情報の窃取
-
Windowsのセキュリティ機能を無効化する難読化されたPowerShellスクリプト
-
EDR(エンドポイント検知・対応)ツールのアンインストールまたは停止の試み
執拗で被害の大きい攻撃
Talosは、Qilinが暗号化後の永続化のために、スケジュールされたタスクやレジストリ変更をしばしば使用していることを確認した。
このランサムウェアは被害者の 壁紙を、Torベースのリークサイトへのリンクと、Torにアクセスできない被害者向けのバックアップURLを含む身代金要求の通知に置き換える。
製造業は全インシデントのおよそ23%を占め、専門・科学サービスは約18%、卸売業は約10%だった。
月次の数値に変動はあるものの、アナリストは、運用の一貫性と拡大するアフィリエイト基盤を踏まえると、Qilinが引き続き重大な脅威であると警告している。
翻訳元: https://www.infosecurity-magazine.com/news/qilin-ransomware-40-cases-monthly/
