Qilin

Überblick

Qilin – vormals unter der Bezeichnung „Agenda“ geführt – ist eine als Ransomware-as-a-Service betriebene Erpressergruppe, deren Schadsoftware ursprünglich in Golang entwickelt und später in Rust neu geschrieben wurde (Variante „Qilin.B“). Die Verschlüsselungssoftware unterstützt mehrere Verschlüsselungsmodi, die sich vollständig vom jeweiligen Operator steuern lassen. Zur Verschlüsselung kommt ChaCha20 zum Einsatz, der Schlüsselschutz erfolgt über RSA-4096. Die Gruppe richtet sich gegen Windows-, Linux- und VMware-ESXi-Umgebungen und bedroht damit auch zentrale Virtualisierungsinfrastrukturen. Charakteristisch ist das Vorgehen der doppelten Erpressung: Die Akteure verlangen sowohl ein Entgelt für ein Entschlüsselungswerkzeug als auch dafür, zuvor entwendete Daten nicht zu veröffentlichen. Als Affiliate-Modell mit hoher Beteiligung der Partner zieht Qilin zahlreiche Akteure an, die Einrichtungen unterschiedlicher Branchen angreifen. Die spätere Variante brachte zudem verbesserte Verschleierungs- und Anti-Analyse-Techniken mit sich, was die Erkennung zusätzlich erschwert.

Taktiken & Vorgehen

Den Erstzugang erlangt Qilin über kompromittierte Zugangsdaten zur Authentisierung via VPN und RDP, über die Ausnutzung von Schwachstellen in VPN-Appliances und Fernwartungswerkzeugen sowie über Phishing. Affiliates phishen gezielt MSP-Administratoren über „ScreenConnect“, um nachgelagerte Kunden zu erreichen; Credential-Harvesting-Seiten zielen auf VPN- und SSO-Portale. Zur Anmeldedaten-Erfassung werden „Mimikatz“, das Auslesen des LSASS-Speichers sowie ein eigenes Skript zum Abgreifen in Google Chrome gespeicherter Zugangsdaten per Gruppenrichtlinie genutzt. Sicherheits- und EDR-Lösungen werden über Batch-Skripte, Gruppenrichtlinien und mitgebrachte verwundbare Treiber (BYOVD, etwa „EDRSandBlast“, „PCHunter“, „YDArk“) deaktiviert. Die seitliche Bewegung erfolgt über RDP, SMB, SSH, „PsExec“, „WinRM“ und „Cobalt Strike“. Daten werden vor der Exfiltration zu Cloud-Speichern wie „MEGA“ archiviert; abschließend werden Schattenkopien und ESXi-Snapshots gelöscht.

Schutzmaßnahmen

Fernzugänge über VPN und RDP sollten durch Mehr-Faktor-Authentisierung und konsequentes Zugangsdaten-Management abgesichert, exponierte VPN-Appliances und Fernwartungswerkzeuge zeitnah gepatcht werden. Gegen das Abgreifen von Anmeldedaten aus Google Chrome sollte die Speicherung von Zugangsdaten in Browsern per Gruppenrichtlinie unterbunden und der Zugriff auf den LSASS-Speicher abgesichert werden. Das Einschleusen verwundbarer Treiber (BYOVD) sollte durch Treiber-Sperrlisten und Schutz vor Manipulation der EDR-Lösungen verhindert werden. Phishing über RMM-Werkzeuge wie „ScreenConnect“ erfordert eine besondere Absicherung von MSP-Zugängen. Die seitliche Bewegung über SMB, RDP und „PsExec“ sollte durch Netzsegmentierung eingedämmt werden. Schattenkopien und ESXi-Snapshots sollten vor unbefugter Löschung geschützt und überwacht werden.