Qilin támadási módszerek
A Cisco Talos Intelligence szerint a Qilin ransomware csoport 2025 második felében is az egyik legaktívabb és legveszélyesebb fenyegető csoport marad, havonta több mint 40 áldozat adatait teszi közzé a saját kiszivárgási oldalán. A csoport főleg a gyártóipart, szakmai és tudományos szolgáltatókat, valamint nagykereskedelmi vállalatokat célozza meg, és a legtöbb esetben az Egyesült Államokban, Kanadában, az Egyesült Királyságban, Franciaországban és Németországban tevékenykedik.
A Qilin támadási módszerei között szerepel a kettős zsarolás, nem csak titkosítják az áldozatok adatokat, hanem fenyegetik azok nyilvánosságra hozatalával is. A Talos kutatói szerint a csoport gyakran használ legitim eszközöket – például a Cyberduck nyílt forráskódú fájlátviteli programot – az adatok kiszivárogtatására, valamint a Windows beépített alkalmazásait az érzékeny fájlok előzetes megtekintésére. A támadók gyakran kétféle titkosítót használnak, az egyik a PsExec eszközzel terjed szét a hálózaton, a másik egy központi gépről titkosít több hálózati megosztást.
A Qilin csoport tagjai gyakran használnak időzített feladatokat és regiszterbejárásokat a rendszerben való tartózkodásuk biztosítására, valamint a háttérképet cserélik le váltságdíj-fizetési utasításokra. A csoport tevékenysége 2025 nyarán csúcsosodott ki, amikor havonta akár 100 áldozat adatait is közzétették. A Talos szerint a Qilin támadási módszereinek sikeressége részben azon múlik, hogy a védők nem figyelnek eléggé a szokásosnál is szokványosabb Windows-eszközök szokatlan használatára, és nem elég gyorsan reagálnak a gyanús tevékenységekre.
