2025’in ikinci yarısında, Qilin fidye yazılımı grubu zorlu bir tehdit olarak konumunu sağlamlaştırdı ve halka açık sızıntı sitesinde ayda 40’tan fazla kurbanın ayrıntılarını yayınlamaya devam etti.
Özellikle üretimi, profesyonel ve bilimsel hizmetleri ve toptan ticareti etkileyen bu hızlı, aralıksız kampanya, Qilin’i dünyanın en etkili fidye yazılımı çeteleri arasına soktu.
Qilin (eski adıyla Agenda), Temmuz 2022’de çifte gasp stratejisi uygulayarak ortaya çıktı: dosya şifrelemeyi kamuya açık verilerin açığa çıkması tehdidiyle birleştirmek.
Talos tehdit istihbarat ekibinden elde edilen kanıtlar, tüm vakaların yaklaşık %23’ünü oluşturan üretime belirgin bir odaklanma ile tutarlı bir operasyonel tempoyu vurgulamaktadır.
Bunu %18 ile mesleki ve bilimsel hizmetler, %10 ile toptan ticaret takip etmektedir. Sağlık, inşaat, perakende, eğitim ve finans gibi kritik sektörlerin her biri vakaların yaklaşık %5’ini oluştururken, temel endüstriler ve genel hizmetler %2’nin altında kalıyor.
Kurban sayısında Amerika Birleşik Devletleri önde gelirken onu Kanada, İngiltere, Fransa ve Almanya takip ediyor. Qilin’in 2025 yazındaki zirvesinde 100’ü aşan tutarlı aylık vaka hacmi, grubun oluşturduğu kalıcı ve küresel tehdidin altını çiziyor.
Qilin’in gasp metodolojisinin merkezi bir parçası olan sızıntı siteleri, hem uzlaşmanın kanıtı hem de mağdurları fidye ödemeye iten yüksek baskı taktiği olarak hizmet ediyor.
Son olay analizi, Qilin’in araç setinde belirgin bir değişikliği ortaya çıkardı: hassas veriler içeren dosyaları taramak için meşru Windows uygulamalarından (mspaint.exe ve notepad.exe) yararlanmak.
Nadiren geniş ölçekte görülen bu teknik, muhtemelen saldırganların gizli içeriği hızlı bir şekilde incelemesine ve yalnızca yerel olmayan veya tipik “hacker” araçlarını engellemek veya işaretlemek üzere ayarlanmış güvenlik platformlarından kaçmasına yardımcı olur.
Kurban ortamlarından alınan günlükler, yalnızca hassas dosyaların Notepad ve Paint ile açıldığını değil, aynı zamanda çalınan verileri bulut hedeflerine sızdırmak için Cyberduck gibi açık kaynaklı yardımcı programların kullanıldığını ve genellikle normal iş trafiğindeki etkinliği maskelediğini ortaya koyuyor.
Yapıtlar, saldırgan komut dosyalarını Doğu Avrupa veya Rusça konuşulan bölgelerdeki potansiyel operatörlere bağlıyor; karakter kodlamaları (windows-1251/Kiril) özellikle kimlik bilgisi hırsızlığı komut dosyalarında ortaya çıkıyor. Yine de analistler bunun kasıtlı bir yanlış işaret olabileceği konusunda uyarıyorlar.
Qilin saldırı zinciri, ek nüanslarla birlikte birçok çağdaş insan tarafından çalıştırılan fidye yazılımı kampanyasını yansıtıyor.
Dikkat çekici bir şekilde, bu vakaya dahil edilen VPN’de yapılandırılmış çok faktörlü kimlik doğrulama (MFA) yoktu, bu da kimlik bilgilerine sahip bir saldırganın sınırsız erişime izin vermesine olanak tanıyordu.
İlk erişim genellikle karanlık web forumlarında sızdırılan veya satılan kimlik bilgilerini kullanan VPN girişlerine kadar uzanır. Bazı durumlarda, RDP’yi etkinleştirmek ve Windows ortamlarında yanal hareketi kolaylaştırmak için grup ilkesinde ayarlamalar yapıldı.
Qilin saldırganları, nltest, net, whoami ve görev listesi gibi yerleşik araçları kullanarak, kullanıcı listelerini, etki alanı denetleyicilerini ve ayrıcalık bilgilerini toplayarak metodik olarak keşif gerçekleştirir.
Kimlik bilgileri erişimi çok aşamalı bir süreçtir; parolaları toplamak ve ayrıcalıkları yükseltmek için Mimikatz, NirSoft yardımcı programları ve özel toplu dosyaları içeren bir araç setinden yararlanılır.
Bu kimlik bilgileri genellikle saldırganların ağ üzerinden yayılmasına, güvenlik duvarı veya RDP ayarlarını değiştirmesine ve sınırsız yatay hareket için geniş erişim paylaşımları oluşturmasına olanak tanır.
Çift şifreleyici dağıtımı Qilin’i diğerlerinden farklı kılıyor: encryptor_1.exe, PsExec yoluyla yanal olarak yayılarak birden fazla ana bilgisayara bulaşıyor, encryptor_2.exe ise ağ paylaşımlarını tek bir bakış noktasından merkezi olarak şifreliyor.
Fidye yazılımının yürütülmesinden önce savunmadan kaçınma taktikleri gelir: PowerShell komutlarının karartılması, EDR ve AMSI’nin devre dışı bırakılması ve AnyDesk ve ScreenConnect gibi hem açık kaynaklı hem de ticari uzaktan erişim araçlarının kullanılması.
Gizleme, Sızma ve Kalıcı Etki
Qilin aktörleri, dışarı sızmak için ganimeti WinRAR gibi araçlarla tamamlıyor ve ardından Cyberduck’u kullanarak genellikle Backblaze olmak üzere bulut depolamaya yükleme yapıyor.
Bu kodda, decrypted_buf, CreateThreadpoolWait argümanları aracılığıyla geri çağırma işlevi olarak kaydedilir ve bekleme nesnesi sinyallendiğinde bu geri aramayı çağıracak bir mekanizma oluşturulur.
Değerli verileri tespit etmek için mspaint.exe ve notepad.exe’yi kullanarak dosyaları tararlar; bu, manuel operatör incelemesinin yüksek değerli gaspın kritik bir parçası olmaya devam ettiğinin bir göstergesidir.
Fidye yazılımını dağıttıktan sonra Qilin, hedeflenen dosya, süreç ve hizmet beyaz listeleri ve kara listeleri de dahil olmak üzere genellikle sektöre ve kurbana özgü yapılandırmayla ödeme karşılığında veri kurtarma sunan fidye notlarını geride bırakır.
Kalıcılık mekanizmaları ayrıca zamanlanmış görevler ve kayıt değişiklikleri oluşturarak şantaj baskısının devam etmesini sağlar.
Qilin’in iyi koordine edilmiş bağlı kuruluşlara, çevik taktiklere ve sıradan Windows araçlarının yenilikçi şekilde kötüye kullanılmasına dayanan devam eden faaliyeti, savunmacıların hızlı bir şekilde uyum sağlaması gerektiğini gösteriyor.
Varlık envanteri, ayrıcalık segmentasyonu ve hem yaygın hem de olağandışı uygulama davranışlarının sürekli izlenmesi, 2025’in en çalışkan fidye yazılımı düşmanlarından birini engellemeyi amaçlayan kuruluşlar için pazarlık konusu olmaya devam ediyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.