Qilin ransomware na warsztacie: jak śledczy odtworzyli atak z jednego końcowego hosta

Wprowadzenie do problemu / definicja luki

Qilin (znany również jako Agenda) to operacja Ransomware-as-a-Service (RaaS) aktywna od 2022 r., zasilana afiliantami i ukierunkowana na organizacje z wielu sektorów – od ochrony zdrowia po przemysł. Grupa stosuje podwójny wymus (szyfrowanie + wyciek danych) oraz elastyczne techniki dostępu początkowego (phishing, nadużycia RMM, wykorzystywanie narzędzi „living off the land”).

W skrócie

• Zespół Huntress pokazał, jak z jednego zainfekowanego endpointu odtworzyć cały łańcuch ataku Qilin: od nieautoryzowanego dostępu przez ScreenConnect po próbę wdrożenia ransomware. Analiza opierała się na szczątkowych logach i artefaktach systemowych.
• Qilin ewoluuje: afilianci tej operacji obserwowani są również przy uruchamianiu linuksowych szyfratorów w Windows dzięki WSL, co utrudnia detekcję przez klasyczne narzędzia EDR.
• Kontekst ryzyka potwierdzają realne skutki – m.in. głośny atak na laboratoria NHS/Synnovis w 2024 r., powiązany z Qilin.

Kontekst / historia / powiązania

Qilin wyłonił się jako RaaS w połowie 2022 r., z czasem rozbudowując ekosystem afiliantów i technikę operacyjną. Profil zagrożenia publikowany przez FortiGuard oraz noty sektorowe (HHS) opisują warianty w Go i Rust, podkreślają nadużycia narzędzi zdalnego zarządzania (RMM) i typowy schemat double-extortion. W 2024–2025 r. raporty i doniesienia prasowe przypisywały Qilin incydenty o znacznym wpływie – szczególnie w ochronie zdrowia.

Analiza techniczna / szczegóły luki

Wejście do środowiska (Initial Access):

• Phishing i kradzież poświadczeń, a także nadużycia platform RMM (np. ScreenConnect) jako kanał „legitymizacji” ruchu i eksekucji. W analizowanym incydencie śledczym wykryto nieautoryzowany dostęp ScreenConnect jako punkt zwrotny.

Wykorzystanie WSL / obniżanie widoczności:

• Część afiliantów Qilin uruchamia szyfratory ELF w środowisku Windows Subsystem for Linux, co omija niektóre heurystyki i telemetrykę narzędzi skupionych na binariach PE. To wymusza korelację telemetrii między Windows i komponentami WSL.

Eskalacja i przygotowanie środowiska:

• Wyłączanie usług AV/EDR, czyszczenie logów zdarzeń, zatrzymywanie usług i procesów utrudniających szyfrowanie. Nowsze warianty (np. Qilin.B) dodają techniki antyforensyczne, włącznie z autodelecją plików wykonywalnych.

Szyfrowanie i exfiltracja:

• Qilin stosuje model „szyfruj + wykradnij”, aby spotęgować presję na ofiarę. Exfiltracja odbywa się przed uruchomieniem szyfratora; następnie następuje notatka okupu i komunikacja na kanałach kontrolowanych przez grupę.

Artefakty i telemetria z jednego hosta (case study):

• Huntress zrekonstruował oś czasu w podstawie lokalnych logów, śladów RMM, rejestru i plików tymczasowych, wykazując, iż choćby limitowana widoczność pozwala zidentyfikować taktyki i pivoty atakujących. Dla SOC to praktyczny dowód, iż „host-centric DFIR” może skutecznie odtworzyć łańcuch zdarzeń.

Praktyczne konsekwencje / ryzyko

• Sektory wrażliwe (szczególnie ochrona zdrowia) narażone są na przerwy w świadczeniu usług, opóźnienia procedur medycznych oraz ryzyko ujawnienia danych pacjentów – co pokazał incydent NHS/Synnovis.
• Nadużycia RMM zwiększają „szum tła” i utrudniają rozróżnienie legalnej administracji od działań wroga.
• WSL-based encryptors wymagają rozszerzenia monitoringu poza tradycyjne PE/Windows API.

Rekomendacje operacyjne / co zrobić teraz

Prewencja i hardening

1. Zabezpiecz RMM (ScreenConnect itp.): SSO, MFA bez wyjątków, allowlisting z IP/VPN, least privilege, segmentacja sesji, rejestrowanie i alerty na nietypowe działania operatorów.
2. WSL pod lupą: wyłącz WSL, jeżeli niepotrzebny; w przeciwnym razie loguj instalację/aktywację, monitoruj procesy wsl.exe, mounty, tworzenie plików ELF w profilach użytkowników.
3. Polityki EDR/AV: blokowanie masowego otwierania/zamykania usług, czyszczenia logów, zatrzymywania serwisów bezpieczeństwa; ochrona przed autodelecją artefaktów.
4. DLP + egress filtering: ogranicz exfiltrację przed szyfrowaniem (monitoring dużych transferów, blokady kanałów chmurowych/domen DGA).

Detekcja i telemetria

• Koreluj dane Windows + WSL (Sysmon dla Windows i zdarzenia WSL), zdarzenia RMM, logi Security/System, rejestr usług oraz ślady tworzenia zadań. Buduj reguły na: uruchomienia wsl.exe poza oknami serwisowymi, instalację dystrybucji WSL, nietypowe sesje ScreenConnect, użycie narzędzi do wyłączania EDR, masowe WriteFile/Rename.

IR i odporność

• Backupy 3-2-1 (air-gap/immutability), testy odtwarzania, runbooki IR dla RaaS; szybkie odłączenie RMM, credential hygiene, rotacja sekretów po incydencie.
• W sektorze zdrowia – zgodność z wytycznymi branżowymi i procedurami ciągłości działania.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W porównaniu z wieloma rodzinami RaaS (np. LockBit, ALPHV), Qilin wyróżnia rosnąca adopcja taktyk ukrywania się w legalnych narzędziach (RMM) oraz przenikanie między platformami (ELF przez WSL na Windows). To zmniejsza skuteczność klasycznych, sygnaturowych detekcji i wymaga telemetrii obejmującej zarówno warstwę zarządczą, jak i subsystemy zgodności (WSL).

Podsumowanie / najważniejsze wnioski

• Qilin/Agenda pozostaje aktywnym i elastycznym RaaS, który łączy nadużycia RMM z technikami antyforensycznymi i – u części afiliantów – szyfratorami ELF uruchamianymi przez WSL.
• Nawet ograniczona widoczność z jednego hosta pozwala zrekonstruować incydent i zidentyfikować punkty kontrolne – co pokazała analiza Huntress.
• Organizacje, szczególnie z ochrony zdrowia, powinny traktować Qilin jako wysokie ryzyko operacyjne i wdrożyć specyficzne kontrole dla RMM i WSL.

Źródła / bibliografia

1. BleepingComputer – „Piecing Together the Puzzle: A Qilin Ransomware Investigation” (studium przypadku Huntress). (BleepingComputer)
2. FortiGuard – Threat Actor: Qilin Ransomware (profil grupy, RaaS, aktywność od 2022 r.). (fortiguard.com)
3. U.S. HHS – Qilin Threat Profile (TLP:CLEAR) (wektory wejścia, podwójny wymus, Go/Rust). (HHS)
4. TechRadar (na podstawie badań Trend Micro) – WSL wykorzystywany do uruchamiania szyfratorów ELF w Windows. (TechRadar)
5. ComputerWeekly / The Guardian – incydent NHS/Synnovis 2024 przypisywany Qilin, skutki operacyjne i wyciek danych. (Computer Weekly)