O grupo de ransomware Qilin (também conhecido como Agenda, Gold Feather e Water Galura) tem registrado mais de 40 vítimas por mês desde o início de 2025, com exceção de janeiro, e atingiu um pico de 100 casos divulgados em seu site de vazamento de dados em junho.
Essa operação de ransomware-as-a-service (RaaS) se destaca como uma das mais ativas atualmente, contabilizando 84 vítimas somente nos meses de agosto e setembro de 2025.
O Qilin está ativo desde aproximadamente julho de 2022.
Segundo dados coletados pela Cisco Talos, os países mais afetados são Estados Unidos, Canadá, Reino Unido, França e Alemanha.
Os setores mais visados são manufatura (23%), serviços profissionais e científicos (18%) e comércio atacadista (10%).
Os afiliados ao Qilin geralmente utilizam credenciais administrativas vazadas na dark web para obter acesso inicial via interface VPN.
Em seguida, realizam conexões RDP ao controlador de domínio e aos endpoints comprometidos.
Na etapa seguinte, os invasores fazem reconhecimento do sistema e mapeamento da rede.
Empregam ferramentas como Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe e SharpDecryptPwd para coletar credenciais de diversas aplicações.
Os dados são exfiltrados para um servidor SMTP externo por meio de scripts em Visual Basic.
De acordo com a Talos, comandos executados via Mimikatz tinham como alvo dados sensíveis e funções do sistema, como limpeza de logs do Windows, ativação do privilégio SeDebugPrivilege, extração de senhas salvas no banco SQLite do Chrome, recuperação de credenciais de logins anteriores e captura de configurações relacionadas a RDP, SSH e Citrix.
A análise também revelou o uso de processos legítimos como mspaint.exe, notepad.exe e iexplore.exe para inspeção de arquivos em busca de informações sensíveis, além da ferramenta Cyberduck para transferência de arquivos a servidores remotos, técnica que disfarça a atividade maliciosa.
As credenciais roubadas possibilitam escalonamento de privilégios e movimentação lateral.
Com acesso elevado, os atacantes instalam ferramentas de Remote Monitoring and Management (RMM), como AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist e ScreenConnect.
Contudo, a Talos não confirmou se esses programas foram usados diretamente para movimentação lateral.
Para evitar a detecção, a cadeia de ataque inclui execução de comandos PowerShell para desabilitar o AMSI, desativar a validação de certificados TLS e habilitar o modo Restricted Admin.
Também são executadas ferramentas maliciosas como dark-kill e HRSword para finalizar processos de segurança.
O Cobalt Strike e o SystemBC são usados para manter acesso remoto persistente.
A infecção culmina com a execução do ransomware Qilin, que criptografa arquivos e deixa nota de resgate em cada pasta afetada.
Antes disso, os invasores apagam os logs de eventos e eliminam todas as cópias sombra geradas pelo Windows Volume Shadow Copy Service (VSS).
Essas descobertas coincidem com a revelação de um ataque sofisticado do Qilin que utilizou uma variante Linux do ransomware em sistemas Windows, combinada com a técnica bring your own vulnerable driver (BYOVD) e ferramentas legítimas de TI, para burlar mecanismos de segurança.
De acordo com a Trend Micro, os invasores abusaram de ferramentas legítimas, instalando AnyDesk via a plataforma RMM da Atera Networks e usando ScreenConnect para execução de comandos, além de utilizar Splashtop na execução final do ransomware.
O ataque foi direcionado especialmente à infraestrutura de backup da Veeam, explorando ferramentas especializadas para extração de credenciais e comprometendo a capacidade de recuperação de desastre da organização antes da detonação do ransomware.
Além do uso de contas válidas para infiltração, algumas campanhas envolveram spear-phishing e páginas falsas no estilo ClickFix CAPTCHA hospedadas na infraestrutura Cloudflare R2 para disparar payloads maliciosos.
Essas páginas foram usadas para roubo de credenciais que facilitam o acesso inicial.
Entre os principais procedimentos adotados pelos atacantes estão:
- Implantação de um DLL proxy SOCKS para facilitar o acesso remoto e execução de comandos;
- Abuso das funcionalidades remotas do ScreenConnect para executar comandos de reconhecimento e varredura da rede visando alvos para movimentação lateral;
- Ataque direcionado à infraestrutura de backup da Veeam para coleta de credenciais;
- Uso do driver "eskle.sys" em ataque BYOVD para desativar soluções de segurança, encerrar processos e evitar detecção;
- Implantação dos clientes PuTTY SSH para facilitar a movimentação lateral em sistemas Linux;
- Utilização de proxies SOCKS em diversos diretórios do sistema para ofuscar o tráfego de comando e controle por meio do backdoor COROXY;
- Transferência segura do binário do ransomware Linux para sistemas Windows via WinSCP;
- Execução do binário do ransomware Linux diretamente em sistemas Windows por meio da ferramenta de gerenciamento remoto Splashtop (SRManager.exe).
Pesquisadores da Trend Micro destacam que o binário Linux do ransomware oferece capacidade multiplataforma, atingindo tanto sistemas Windows quanto Linux com um único payload.
Além disso, amostras recentes passaram a identificar ambientes Nutanix AHV, ampliando o alvo para plataformas de infraestrutura hiperconvergente, o que demonstra a adaptação dos atacantes ao ambiente de virtualização moderno, além das implantações tradicionais VMware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...