Nhóm mã độc tống tiền Qilin (còn được biết đến với tên Agenda, Gold Feather và Water Galura) đã tấn công hơn 40 nạn nhân mỗi tháng kể từ đầu năm 2025, trừ tháng Giêng, với số lượng bài đăng trên trang rò rỉ dữ liệu của chúng đạt mức cao 100 trường hợp vào tháng Sáu.
Sự phát triển này cho thấy hoạt động ransomware-as-a-service (RaaS) đã nổi lên như một trong những nhóm mã độc tống tiền hoạt động mạnh nhất, gây ra thiệt hại cho 84 nạn nhân trong mỗi tháng Tám và tháng Chín năm 2025. Qilin được biết đến đã hoạt động từ khoảng tháng Bảy năm 2022.
Theo dữ liệu do Cisco Talos tổng hợp, Hoa Kỳ, Canada, Vương quốc Anh, Pháp và Đức là một số quốc gia bị Qilin ảnh hưởng nặng nề nhất. Các cuộc tấn công chủ yếu nhắm vào các ngành sản xuất (23%), dịch vụ chuyên nghiệp và khoa học (18%), và thương mại bán buôn (10%).
Các cuộc tấn công do các nhóm liên kết của Qilin thực hiện có khả năng đã lợi dụng thông tin xác thực quản trị bị rò rỉ trên dark web để truy cập ban đầu bằng giao diện VPN, sau đó thực hiện các kết nối RDP tới bộ điều khiển miền và các điểm cuối đã bị xâm nhập thành công.
Trong giai đoạn tiếp theo, những kẻ tấn công đã thực hiện các hành động do thám hệ thống và phát hiện mạng để lập bản đồ cơ sở hạ tầng, đồng thời thực thi các công cụ như Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe và SharpDecryptPwd để thu thập thông tin xác thực từ các ứng dụng khác nhau và trích xuất dữ liệu ra máy chủ SMTP bên ngoài bằng Visual Basic Script.
"Các lệnh được thực thi qua Mimikatz nhắm mục tiêu vào một loạt dữ liệu nhạy cảm và chức năng hệ thống, bao gồm xóa nhật ký sự kiện Windows, bật SeDebugPrivilege, trích xuất mật khẩu đã lưu từ cơ sở dữ liệu SQLite của Chrome, khôi phục thông tin xác thực từ các lần đăng nhập trước và thu thập thông tin xác thực cũng như dữ liệu cấu hình liên quan đến RDP, SSH và Citrix," Talos cho biết.
Phân tích sâu hơn đã phát hiện ra việc kẻ tấn công sử dụng mspaint.exe, notepad.exe và iexplore.exe để kiểm tra các tệp tìm thông tin nhạy cảm, cũng như một công cụ hợp pháp có tên Cyberduck để chuyển các tệp quan trọng đến máy chủ từ xa, đồng thời che giấu hoạt động độc hại.
Thông tin xác thực bị đánh cắp đã được phát hiện là cho phép leo thang đặc quyền và di chuyển ngang, lạm dụng quyền truy cập nâng cao để cài đặt nhiều công cụ Remote Monitoring and Management (RMM) như AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist và ScreenConnect. Talos cho biết họ không thể kết luận chắc chắn liệu các chương trình này có được sử dụng để di chuyển ngang hay không.
Để né tránh sự phát hiện, chuỗi tấn công bao gồm việc thực thi các lệnh PowerShell để vô hiệu hóa AMSI, tắt xác thực chứng chỉ TLS và bật Restricted Admin, ngoài ra còn chạy các công cụ như dark-kill và HRSword để chấm dứt phần mềm bảo mật. Cobalt Strike và SystemBC cũng được triển khai trên máy chủ để truy cập từ xa liên tục.
Sự lây nhiễm lên đến đỉnh điểm với việc khởi chạy mã độc tống tiền Qilin, mã độc này mã hóa các tệp và thả một ghi chú đòi tiền chuộc trong mỗi thư mục được mã hóa, nhưng không trước khi xóa nhật ký sự kiện và xóa tất cả các bản sao bóng do Windows Volume Shadow Copy Service (VSS) duy trì.
Những phát hiện này trùng khớp với việc phát hiện một cuộc tấn công Qilin tinh vi đã triển khai biến thể mã độc tống tiền Linux của chúng trên các hệ thống Windows và kết hợp nó với kỹ thuật bring your own vulnerable driver (BYOVD) và các công cụ IT hợp pháp để vượt qua các rào cản bảo mật.
"Những kẻ tấn công đã lạm dụng các công cụ hợp pháp, đặc biệt là cài đặt AnyDesk thông qua nền tảng remote monitoring and management (RMM) của Atera Networks và ScreenConnect để thực thi lệnh. Nó lạm dụng Splashtop để thực hiện mã độc tống tiền cuối cùng," Trend Micro cho biết.
"Chúng đặc biệt nhắm mục tiêu vào cơ sở hạ tầng sao lưu Veeam bằng cách sử dụng các công cụ trích xuất thông tin xác thực chuyên biệt, thu thập thông tin xác thực một cách có hệ thống từ nhiều cơ sở dữ liệu sao lưu để làm suy yếu khả năng phục hồi sau thảm họa của tổ chức trước khi triển khai payload mã độc tống tiền."
Ngoài việc sử dụng các tài khoản hợp lệ để xâm nhập mạng mục tiêu, một số cuộc tấn công đã sử dụng spear-phishing và các trang CAPTCHA giả mạo kiểu ClickFix được lưu trữ trên cơ sở hạ tầng Cloudflare R2 để kích hoạt việc thực thi các payload độc hại. Người ta đánh giá rằng các trang này cung cấp các information stealers cần thiết để thu thập thông tin xác thực, sau đó được sử dụng để có được quyền truy cập ban đầu.
Các bước tấn công quan trọng của Qilin Ransomware
- Triển khai SOCKS proxy DLL để tạo điều kiện truy cập từ xa và thực thi lệnh.
- Lạm dụng khả năng quản lý từ xa của ScreenConnect để thực thi các lệnh khám phá và chạy các công cụ quét mạng để xác định các mục tiêu di chuyển ngang tiềm năng.
- Nhắm mục tiêu vào cơ sở hạ tầng sao lưu Veeam để thu thập thông tin xác thực.
- Sử dụng trình điều khiển "eskle.sys" như một phần của cuộc tấn công BYOVD để vô hiệu hóa các giải pháp bảo mật, chấm dứt các tiến trình và né tránh phát hiện.
- Triển khai các ứng dụng khách PuTTY SSH để tạo điều kiện di chuyển ngang đến các hệ thống Linux.
- Sử dụng các phiên bản SOCKS proxy trên các thư mục hệ thống khác nhau để che giấu lưu lượng command-and-control (C2) bằng backdoor COROXY.
- Sử dụng WinSCP để truyền tệp an toàn của mã độc tống tiền Linux nhị phân sang hệ thống Windows.
- Sử dụng dịch vụ quản lý của Splashtop Remote (SRManager.exe) để thực thi trực tiếp mã độc tống tiền Linux nhị phân trên các hệ thống Windows.
"Mã độc tống tiền Linux nhị phân cung cấp khả năng đa nền tảng, cho phép những kẻ tấn công ảnh hưởng đến cả hệ thống Windows và Linux trong môi trường bằng một payload duy nhất," các nhà nghiên cứu của Trend Micro lưu ý.
"Các mẫu được cập nhật đã tích hợp tính năng phát hiện Nutanix AHV, mở rộng mục tiêu sang các nền tảng hạ tầng siêu hội tụ. Điều này cho thấy sự thích nghi của những kẻ tấn công với các môi trường ảo hóa doanh nghiệp hiện đại, vượt ra ngoài các triển khai VMware truyền thống."
