O que é o Qilin?

Qilin (também conhecido como Agenda) é uma operação criminosa de ransomware como serviço que trabalha com afiliados, criptografando e extraindo os dados de organizações hackeadas e exigindo um resgate a ser pago.

Qilin parece ser um nome estranho. De onde ele vem?

O Qilin é uma criatura da mitologia chinesa que combina as características de um dragão e de um animal com chifres. Às vezes, é comparado a um unicórnio.

Então o ransomware Qilin vem da China?

Errado. Desculpe. O grupo por trás da operação de ransomware Qilin parece estar ligado à Rússia.

Hmmph. Então, há quanto tempo o ransomware Qilin está operando?

O Qilin postou pela primeira vez sobre uma vítima em seu site darknet em outubro de 2022 e aumentou suas atividades desde então. As vítimas incluem o jornal de rua The Big Issue, o gigante de peças automotivas Yanfeng e o serviço de tribunal australiano.

Então, por que o Qilin está nas notícias agora?

No início de junho, foi declarado um “incidente crítico” de emergência e as operações foram canceladas em vários hospitais de Londres após um ataque de ransomware contra a empresa de teste de sangue e transfusão Synnovis. O Qilin posteriormente anunciou em seu site dark web que liberaria os dados roubados durante o ataque.

Desagradável. Presumivelmente, eles estão tentando extorquir um pesado resgate da empresa?

Bem, aqui as coisas ficam um pouco confusas. Foi relatado que o Qilin está exigindo o alto valor de US $50 milhões da Synnovis pelas ferramentas para descriptografar seus sistemas e pela promessa de não publicar seus dados. No entanto, em uma série de entrevistas com a imprensa, o grupo de ransomware Qilin afirmou que o ataque contra os hospitais não foi motivado financeiramente, mas sim parte de um protesto contra o envolvimento do governo britânico em uma guerra não especificada.

Isso é realmente provável?

Acho difícil acreditar. O grupo de ransomware Qilin nunca afirmou ter motivações políticas para suas ações no passado, e a história mostrou que não hesita em atingir todos os tipos de empresas, escolas, hospitais e organizações de saúde em seus ataques. Uma demanda de resgate de US $50 milhões reflete a escala de interrupção que os hospitais e pacientes estão enfrentando. Não faz sentido se o grupo está realmente sério sobre qualquer agenda política que o grupo Qilin alega estar seguindo.

Parece que organizações de saúde e hospitais são frequentemente alvos de ransomware. Por quê?

Os provedores de saúde pública geralmente têm uma mistura perigosa de sistemas de TI complexos com orçamentos limitados. Além disso, há uma enorme diferença entre uma empresa atingida por ransomware não sendo capaz de fabricar widgets por alguns dias e um hospital não ser capaz de tratar pacientes com câncer. Grupos de ransomware provavelmente veem hospitais e organizações associadas como um “alvo fácil”, que esperam encontrar mais fácil extorquir dinheiro.

Então, o que minha empresa deve fazer em relação ao Qilin?

Você seria sábio em seguir nossas recomendações sobre como proteger sua organização do ransomware. Isso inclui fazer backups seguros em locais externos, executar soluções de segurança atualizadas e garantir que seus computadores estejam protegidos com as últimas correções de segurança contra vulnerabilidades, restringir a capacidade de um atacante se espalhar lateralmente por sua organização através da segmentação de rede, usar senhas únicas difíceis de quebrar para proteger dados e contas sensíveis, bem como habilitar autenticação multi-fator, criptografar dados sensíveis sempre que possível, reduzir a superfície de ataque desabilitando funcionalidades que sua empresa não precisa, educar e informar os funcionários sobre os riscos e métodos usados pelos criminosos cibernéticos para lançar ataques e roubar dados.

Mantenha-se seguro e não permita que sua organização seja a próxima vítima do grupo de ransomware Qilin.