近期勒索软件组织Qilin如此活跃 | 什么来头？

Qilin（有时也称为Agenda）是一个相对较新但十分活跃的勒索软件组织，以其针对关键基础设施（尤其是医疗保健行业）的针对性攻击而闻名。

一、 组织背景

1. 出现时间： 该组织最早于 2022年中后期 开始活跃。

1. 运营模式： 采用典型的 “勒索软件即服务” 模式。核心团队开发和维护勒索软件，招募“附属机构”来实际执行入侵、部署勒索软件和谈判赎金。核心团队从中抽取分成（通常为20%-30%）。
2. 目标行业： 表现出对特定行业的强烈偏好：
• 医疗保健： 是其最常攻击的行业，影响范围包括医院、诊所、诊断服务提供商等，对患者护理和生命安全构成直接威胁。
• 制造业： 也是其频繁攻击的目标。
• 专业服务： 如律师事务所、咨询公司等。
• 关键基础设施： 除医疗外，也涉及其他关键服务提供商。
3. 地理位置： 主要攻击目标位于英国、美国、澳大利亚、巴西等国家。其附属机构可能分布在全球。
4. 技术特点：
• 使用Rust编程语言： 其勒索软件主要使用Rust编写，这提供了更好的跨平台兼容性（Windows/Linux）、更高的性能以及更强的反分析和规避检测能力。
• 双重勒索： 标准操作流程包括在加密受害者文件之前大量窃取敏感数据。如果受害者拒绝支付赎金，Qilin会在其数据泄露站点上公开这些数据。
• 定制化攻击： 有证据表明他们会根据目标环境定制攻击参数（如加密文件类型、排除特定目录）。
• 规避技术： 使用多种技术终止安全软件进程、删除备份卷影副本、禁用恢复选项。
• 多阶段部署： 通常通过初始访问代理获取入口，利用合法工具（如Cobalt Strike）进行横向移动，最后部署勒索软件载荷。

二、 重大/典型勒索事件

1. 2023年英国医疗供应链攻击 (Synnovis)： 这是Qilin最臭名昭著的一次攻击。

• 导致伦敦多家大型医院（包括盖伊医院、圣托马斯医院、国王学院医院等）的病理服务严重中断。
• 数千台非紧急手术（包括器官移植）和预约被取消或推迟。
• 紧急医疗服务（如血库匹配）受到干扰。
• 大量患者数据（包括NHS号码、姓名、出生日期、血液检测结果描述）被盗并在Qilin的泄密网站上公开。
• 时间： 2024年6月初（事件影响在6月显现）。
• 目标： Synnovis，一家为英国国家医疗服务体系提供病理检测服务（如血检）的供应商。
• 影响：
• 特点： 这次攻击凸显了针对医疗关键供应链（第三方服务提供商）的攻击如何造成广泛而严重的连锁反应，直接威胁公共健康。

2. 2023年澳大利亚葡萄酒巨头Treasury Wine Estates攻击：

• 时间： 2023年1月。
• 影响： 导致其生产系统中断，影响了部分面向澳大利亚本土市场的业务运营和订单履行。

3. 2023年巴西能源公司Copel攻击：

• 时间： 2023年4月。
• 影响： 攻击了这家巴西大型国有电力公司，声称窃取了2TB数据。

4. 针对全球多家医院的攻击： 除Synnovis外，Qilin持续针对全球各地的医院发动攻击，导致系统中断、患者数据泄露，迫使医院转向人工操作模式。许多受害医院的名字出现在Qilin的泄密网站上。

5. 针对制造业公司的攻击： 多家制造业公司报告遭受Qilin攻击，导致生产线中断、设计图纸和知识产权被盗。

三、 相关调查情况

1. 执法机构关注：
• 英国国家网络安全中心： 在Synnovis攻击后，NCSC发布警报，强调勒索软件对医疗行业的威胁，并可能参与调查。
• 美国联邦调查局： FBI将Qilin视为重要威胁，可能将其列入重点监控和调查名单。FBI定期发布关于活跃勒索软件组织的联合通告。
• 其他受影响国家的执法机构： 如澳大利亚、巴西等国的执法和网络安全机构也在追踪Qilin的活动。
2. 网络安全公司分析： 包括Recorded Future、Trend Micro、Symantec/Broadcom、Kaspersky、CrowdStrike在内的多家安全公司持续发布关于Qilin的技术分析报告，追踪其工具、技术和程序的变化，分析其攻击模式，并提供检测和防御建议。
3. 溯源挑战： 与大多数成熟的勒索软件组织一样，Qilin核心成员的身份和确切地理位置（普遍推测在俄语区）尚未被公开确认。他们利用加密货币（如比特币、门罗币）收取赎金，并通过混合器洗钱，增加了追踪难度。附属机构则分布更广。
4. 数据泄露站点监控： 安全研究人员和机构持续监控Qilin的Tor数据泄露站点，以了解其最新受害者、窃取的数据类型以及谈判策略。
5. 防御重点： 调查分析一致强调针对Qilin的防御需要多层策略：
• 强化初始访问防御： 严格管控远程访问（RDP/VPN）、多因素认证、及时修补漏洞、警惕网络钓鱼。
• 限制横向移动： 网络分段、最小权限原则、监控异常活动。
• 保护备份： 实施离线、不可变或气隙备份，并定期测试恢复。
• 端点检测与响应： 部署高级EDR解决方案。
• 邮件安全： 增强邮件网关过滤能力。
• 安全意识培训： 教育员工识别钓鱼攻击。
• 第三方风险管理： 严格评估关键供应商（尤其是IT和医疗供应链）的安全状况。
• 事件响应准备： 制定并演练勒索软件事件响应计划。
6. 国际合作： 鉴于勒索软件的跨国性质，各国执法和网络安全机构之间需要加强情报共享和协作，以应对Qilin等组织的威胁。打击其支付渠道（加密货币）也是国际努力的方向。

总结

Qilin是一个在RaaS模式下运作的高度活跃且危险的勒索软件组织，以其使用Rust语言编写的恶意软件、对医疗保健和制造业等关键行业的针对性攻击，以及造成重大运营中断和数据泄露的能力而著称。2024年6月对英国医疗服务提供商Synnovis的攻击是其最具破坏性的行动之一，突显了勒索软件对公共安全和关键基础设施的严重威胁。全球执法机构和网络安全公司正在积极调查和追踪该组织，但彻底瓦解其核心运营仍面临巨大挑战。防御Qilin需要组织采取全面、主动的安全措施，尤其要关注供应链风险和医疗行业的脆弱性。