Qilinランサムウェアの脅威の拡大
2025年後半、Qilinランサムウェアグループは手ごわい脅威としての地位を確立し、毎月40件以上の被害詳細を公開リークサイトに投稿し続けています。製造業、専門的・科学的サービス、卸売業に主に影響を与えているこの迅速かつ執拗なキャンペーンにより、Qilinは世界で最も影響力のあるランサムウェア集団の一つとなっています。
Qilin(旧Agenda)は2022年7月に登場し、ファイル暗号化と公開データ暴露の脅威を組み合わせた二重恐喝戦略を採用しています。Talos脅威インテリジェンスチームの証拠は、一貫した運用ペースを示しており、特に製造業に重点を置いています(全ケースの約23%)。専門的・科学的サービスが18%、卸売業が10%を占めています。医療、建設、小売、教育、金融などの重要なセクターはそれぞれ約5%を占め、一次産業および一般サービスは2%未満です。
被害者数では米国がトップであり、カナダ、英国、フランス、ドイツがそれに続きます。2025年夏には100件以上の投稿を記録したQilinの一貫した月間ケース数は、このグループがもたらす永続的かつ世界的な脅威を浮き彫りにしています。彼らのリークサイトは、Qilinの恐喝手法の中心的な部分であり、侵害の証拠として、また被害者に身代金支払いを促す高圧的な戦術として機能しています。
ネイティブWindowsツールの悪用
最近のインシデント分析により、Qilinのツールキットにおける独特な手口が明らかになりました。それは、正規のWindowsアプリケーションであるmspaint.exeとnotepad.exeを悪用して、機密データを含むファイルを検索するというものです。この手法は大規模ではめったに見られず、攻撃者が機密コンテンツを迅速に確認し、非ネイティブまたは典型的な「ハッカー」ツールのみをブロックまたはフラグ付けするように調整されたセキュリティプラットフォームを回避するのに役立っている可能性があります。
被害環境のログは、メモ帳とペイントで機密ファイルが開かれただけでなく、Cyberduckなどのオープンソースユーティリティが盗まれたデータをクラウドの宛先に持ち出すために使用され、その活動が通常のビジネス通信に偽装されていたことも明らかにしています。アーティファクトは、攻撃者のスクリプトが東欧またはロシア語圏のオペレーターに関連していることを示唆しており、特に資格情報窃盗スクリプトで文字エンコーディング(windows-1251/Cyrillic)が顕著に現れています。しかし、アナリストはこれが意図的な偽装である可能性もあると警告しています。
Qilinの攻撃チェーンと戦術
Qilinの攻撃チェーンは、多くの現代的な人間が操作するランサムウェアキャンペーンと類似していますが、いくつかのニュアンスが追加されています。注目すべきは、このケースで関与したVPNには多要素認証(MFA)が設定されておらず、攻撃者が資格情報を持っていれば無制限にアクセスできたことです。
初期アクセスは、ダークウェブフォーラムで漏洩または販売された資格情報を使用したVPNログインに遡ることがよくあります。一部のケースでは、グループポリシーの調整によりRDPが有効になり、Windows環境全体でのラテラルムーブメントが容易になりました。Qilinの攻撃者は、nltest、net、whoami、tasklistなどの組み込みツールを使用して、ユーザーリスト、ドメインコントローラー、特権情報を収集し、体系的に偵察を行います。
資格情報へのアクセスは多段階のプロセスであり、Mimikatz、NirSoftユーティリティ、カスタムバッチファイルを含むツールキットを利用してパスワードを収集し、特権を昇格させます。これらの資格情報により、攻撃者はネットワーク全体に拡散し、ファイアウォールやRDPの設定を変更し、無制限のラテラルムーブメントのために広範なアクセス共有を作成することができます。
Qilinを際立たせているのは、デュアル暗号化ツールの展開です。encryptor_1.exeはPsExecを介して横方向に拡散し、複数のホストを感染させ、encryptor_2.exeは単一の視点からネットワーク共有を集中して暗号化します。ランサムウェアの実行に先立って、防御回避戦術が用いられます。これには、PowerShellコマンドの難読化、EDRおよびAMSIの無効化、AnyDeskやScreenConnectなどのオープンソースおよび商用リモートアクセスツールの使用が含まれます。
難読化、データ流出、そして永続的な影響
データ流出のために、Qilinの攻撃者はWinRARなどのツールで戦利品をまとめ、Cyberduckを使用してクラウドストレージ(多くの場合Backblaze)にアップロードします。このプロセスでは、mspaint.exeとnotepad.exeを使用してファイルを精査し、価値のあるデータを見つけ出すという、手動オペレーターによるレビューが依然として高価値の恐喝の重要な部分であることを示す指標が見られます。
ランサムウェアを展開した後、Qilinは身代金メモを残し、支払いと引き換えにデータ回復を提供します。これには、ターゲットとなるファイル、プロセス、サービスに関するホワイトリストとブラックリストを含む、セクターおよび被害者固有の設定がしばしば含まれます。永続化メカニズムは、スケジュールされたタスクとレジストリの変更を確立することにより、継続的な恐喝圧力をさらに保証します。
Qilinの継続的な活動は、調整されたアフィリエイト、機敏な戦術、そしてありふれたWindowsツールの革新的な悪用に根ざしており、防御側が迅速に適応する必要があることを示しています。資産インベントリ、特権のセグメンテーション、および一般的および珍しいアプリケーション動作の継続的な監視は、2025年で最も活発なランサムウェアの敵の1つを阻止しようとする組織にとって不可欠な対策です。