Aktuálna kampaň APT skupiny Qilin zasahuje aj Slovensko

Aktuálna situácia:

Qilin je v roku 2025 jednou z najaktívnejších ransomvérových skupín s viac ako 40 úspešnými útokmi mesačne. Celkovo bolo v roku 2025 zdokumentovaných viac ako 700 útokov, pričom najviac zasiahnutý sektor je výroba (23%). Nasledujú profesionálne a vedecké služby (18%) a veľkoobchod (10%).

Opis útoku:

Útok začína najčastejšie cez ukradnuté administrátorské prihlasovacie údaje (VPN/RDP), ktoré útočníci získavajú z dark webu.

Pre pohyb na sieti používajú viaceré legitímne nástroje ako PsExec, Cobalt Strike, SystemBC, AnyDesk, WinSCP, Splashtop Remote. Na exfiltáciu dát využívajú nástroj Cyberduck. Na vytvorenie perzitencie v systéme útočníci tiež vytvárajú podvrhnuté plánované úlohy (scheduled tasks) a modifikujú registre.

Ako ochranu pred detekciou využívajú techniky BYOVD (Bring Your Own Vulnerable Driver), obfuskáciu PowerShell kódu, vypnutie AMSI, deaktiváciu overovania TLS certifikátov a termináciu bezpečnostného softvéru pomocou nástrojov ako dark-kill a HRSword.

Dopad na Slovensko:

Na území Slovenskej Republiky evidujeme útoky tejto ransomvérovej skupiny v oblasti energetiky  a verejnej správy. Upozorňujeme aj na to, že jej primárny cieľ (výrobný sektor) tvorí značnú súčasť nášho hospodárstva.  Práve západné priemyselné spoločnosti, ktoré sú častými cieľmi tejto skupiny, majú svoje pobočky aj na Slovensku.

Odporúčania:
Administrátorom odporúčame zvýšenú pozornosť na neobvyklé prístupy cez VPN/RDP, segmentáciu siete a obmedzenie prístupu k citlivým systémom. Ďalej odporúčame pravidelné aktualizácie systémov a aplikácií a následnú kontrolu verzií ovládačov, obzvlášť s ohľadom na zneužívanie zraniteľností a techniky BYOVD.

Zdroje: