Devis de remise multi-licences
Données concernant les menaces Ransomware Groupe de rançongiciels Qilin

Groupe de rançongiciels Qilin

Par Mezo en Ransomware, Menace persistante avancée (APT)
Se traduisent par :

Qilin (également connu sous les noms d'Agenda, Gold Feather et Water Galura) est devenu l'une des opérations de rançongiciels en tant que service (RaaS) les plus prolifiques actuellement. Depuis début 2025, le groupe a enregistré plus de 40 victimes par mois (janvier étant la seule exception), avec un pic d'environ 100 fuites de données en juin et 84 victimes en août et septembre 2025. Actif depuis juillet 2022 environ, le rythme et les tactiques de Qilin en font un acteur à haut risque pour les entreprises du monde entier.

Qui a été touché ? Géographie et industries

L'analyse des données télémétriques des incidents montre que les victimes de Qilin se concentrent en Amérique du Nord et en Europe occidentale, les États-Unis, le Canada, le Royaume-Uni, la France et l'Allemagne étant parmi les pays les plus touchés. Le groupe privilégie certains secteurs d'activité : l'industrie manufacturière représente environ 23 % des cibles observées, les services professionnels et scientifiques environ 18 % et le commerce de gros environ 10 %.

Accès initial et implantation précoce

Les enquêteurs pensent que de nombreuses intrusions affiliées à Qilin commencent par la fuite d'identifiants administratifs obtenus à partir de dépôts du dark web. Les pirates utilisent ces identifiants pour se connecter via une interface VPN, puis établissent des connexions RDP aux contrôleurs de domaine et autres terminaux compromis. Ils procèdent ensuite à la cartographie de l'environnement et à une reconnaissance plus approfondie.

Récolte et outillage d’informations d’identification

Les campagnes Qilin utilisent largement des outils et techniques de collecte d'identifiants. Les opérateurs et les affiliés utilisent Mimikatz avec des utilitaires tels que WebBrowserPassView.exe, BypassCredGuard.exe et SharpDecryptPwd pour extraire les secrets des navigateurs, des magasins système et d'autres applications. Les identifiants collectés sont exfiltrés vers des serveurs SMTP externes à l'aide de scripts Visual Basic. L'utilisation de Mimikatz observée en situation réelle incluait les actions suivantes :

  • effacer les journaux d’événements Windows et effacer les traces ;
  • activer SeDebugPrivilege ;
  • extraire les mots de passe Chrome enregistrés à partir des bases de données SQLite ;
  • récupérer les informations d'identification des connexions précédentes ; et
  • configuration de la récolte et informations d'identification pour RDP, SSH et Citrix.

Vivre de la terre et abus d’outils légitimes

Les acteurs de la menace mélangent des logiciels malveillants évidents avec des utilitaires système légitimes et des outils d'administration bien connus pour se fondre dans la masse. Ils ont été vus en train d'ouvrir des fichiers avec mspaint.exe, notepad.exe et iexplore.exe pour inspecter manuellement le contenu à la recherche d'informations sensibles, et d'utiliser le client Cyberduck authentique pour transférer les fichiers choisis vers des serveurs distants tout en masquant une intention malveillante.

Comment les informations d’identification volées sont exploitées

Une fois les identifiants obtenus, les acteurs Qilin élèvent leurs privilèges et se propagent latéralement. L'accès élevé a été utilisé pour installer divers produits de surveillance et de gestion à distance (RMM) et d'accès à distance — AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist et ScreenConnect — bien que les chercheurs (Talos) n'aient pas toujours pu déterminer si chaque produit était principalement utilisé pour des déplacements latéraux ou pour un contrôle à distance permanent.

Évasion, persistance et post-exploitation

Pour échapper à la détection, les attaquants exécutent des séquences PowerShell qui désactivent AMSI et la validation des certificats TLS, et activent le mode administrateur restreint. Ils déploient également des utilitaires de type kill switch, tels que darkkill et HRSword, pour mettre fin aux produits de sécurité. Pour la persistance et le contrôle secret, ils utilisent Cobalt Strike et SystemBC.

Déploiement et nettoyage des ransomwares

L'étape finale est le déploiement du ransomware Qilin : les fichiers sont chiffrés, les notes de rançon sont déposées dans des dossiers chiffrés, les journaux d'événements Windows sont effacés et toutes les copies fantômes créées par le service Volume Shadow Copy Service (VSS) sont supprimées pour contrecarrer les efforts de récupération.

Chaînes d'attaque hybrides avancées (binaire Linux sur Windows + BYOVD)
Certains incidents Qilin sophistiqués ont combiné plusieurs techniques avancées. Les opérateurs ont déployé un binaire de rançongiciel compilé sous Linux, puis l'ont exécuté sur des hôtes Windows, ont associé cette charge utile à une technique BYOVD (Bring Your Own Vulnerable Driver) pour désactiver les défenses, et ont utilisé des outils de gestion informatique légitimes pour se déplacer dans l'environnement et exécuter les charges utiles. Lors de ces attaques, le pilote eskle.sys s'est avéré être le composant vulnérable utilisé pour désactiver les contrôles de sécurité, arrêter les processus et échapper à la détection.

Ciblage de sauvegarde et vol d’identifiants personnalisés

Qilin a spécifiquement ciblé l'infrastructure de sauvegarde Veeam. Les attaquants ont utilisé des outils spécialisés d'extraction d'identifiants pour récupérer les bases de données de sauvegarde, compromettant systématiquement les plateformes de reprise après sinistre des organisations avant de lancer un rançongiciel, augmentant ainsi considérablement les risques pour les victimes.

Hameçonnage et faux mécanismes de livraison de CAPTCHA

Au-delà des abus de comptes valides, certaines intrusions ont commencé par du spear-phishing ou par de fausses pages CAPTCHA de type ClickFix hébergées sur Cloudflare R2. Ces pages semblent diffuser des charges utiles de vol d'informations qui collectent des identifiants, puis les réutilisent pour obtenir un accès initial au réseau.

Les principales techniques et infrastructures observées comprennent :

  • Déploiement d'une DLL proxy SOCKS pour permettre l'accès à distance et l'exécution de commandes.
  • Utilisation abusive de ScreenConnect pour exécuter des commandes de découverte et des outils d'analyse réseau pour localiser des cibles de mouvement latéral.
  • Cibler les systèmes de sauvegarde Veeam pour extraire les informations d'identification de sauvegarde de plusieurs bases de données.
  • Utilisation du pilote eskle.sys dans les attaques BYOVD pour neutraliser les logiciels de sécurité et mettre fin aux processus défensifs.
  • Déploiement de clients SSH PuTTY pour se déplacer latéralement vers des hôtes Linux.
  • Exécution d'instances de proxy SOCKS dans différents répertoires pour masquer le trafic C2 via la porte dérobée COROXY.
  • Utilisation de WinSCP pour déplacer le binaire du ransomware Linux sur les systèmes Windows.
  • Exploiter SRManager.exe de Splashtop Remote pour exécuter le binaire du ransomware Linux directement sur les machines Windows.

Impact multiplateforme et ciblage de la virtualisation

Le binaire Linux offre une fonctionnalité multiplateforme : une seule charge utile peut affecter les systèmes Linux et Windows d'un même environnement. Plus récemment, des échantillons Qilin ont été mis à jour pour détecter les environnements Nutanix AHV, démontrant ainsi que le groupe étend son ciblage au-delà des déploiements VMware traditionnels, vers les infrastructures hyperconvergées modernes.

Résumé

L'opération de Qilin combine vol d'identifiants, utilisation abusive d'outils d'administration légitimes, techniques BYOVD, attaques ciblées sur les systèmes de sauvegarde et rançongiciels multiplateformes pour maximiser l'impact et éviter toute détection. Les défenseurs doivent privilégier l'hygiène des identifiants, l'authentification multifacteur sur les interfaces d'accès à distance, la segmentation des systèmes de sauvegarde, une surveillance rigoureuse des utilisations anormales des outils de gestion à distance légitimes et des contrôles pour détecter les activités BYOVD basées sur les pilotes. Ces mesures réduisent le risque que des identifiants collectés ou un point de compromission unique conduisent à un déploiement massif de rançongiciels.

Tendance

AVERTISSEMENT : Arnaque à la fuite de ressources...

Hameçonnage, Courrier indésirable
Des chercheurs en cybersécurité ont identifié une fraude appelée « AVERTISSEMENT : FUITE DE RESSOURCES SYSTÈME », qui utilise de fausses alertes système pour tromper les utilisateurs. Bien que la page à l'origine de cette fraude fasse la promotion d'une application légitime, sa méthode de diffusion, basée sur la peur, est trompeuse et conçue pour inciter les utilisateurs à agir par...

Le plus regardé

Chargement...