От мелких дельцов до главной угрозы бизнесу. Как хакеры Qilin создали циничную систему многоступенчатого шантажа
За агрессивной экспансией стояла не случайность, а холодный расчёт.
Группировка Qilin за несколько лет прошла путь от малозаметного шифровальщика до одной из самых активных сил на рынке вымогательского ПО. По данным отчёта Guardsix, бывшая Agenda превратилась в зрелую платформу для атак, где одни участники поддерживают инфраструктуру, а другие взламывают компании и делят выкуп с операторами.
Qilin впервые заметили в середине 2022 года. Сначала активность выглядела ограниченной, но в 2023 году группировка резко нарастила темп, а в 2024 и 2025 годах закрепилась среди лидеров по числу опубликованных жертв. По данным ransomware.live, к моменту подготовки отчёта Qilin связали суммарно примерно с 1697 пострадавшими организациями, причём лишь за последние 90 дней группировка заявила о 421 атаке.
Операторы Qilin работают по модели RaaS. Основная команда развивает шифровальщик, панель управления и инфраструктуру, а партнёры проводят проникновения в сети. Такой подход помогает быстро менять методы атак, расширять географию и держать высокий темп кампаний. За время развития Qilin перешла от шифровальщика на Go к версии на Rust, способной работать в Windows, Linux и VMware ESXi.
Чаще всего жертвами становятся производственные, технологические, медицинские и строительные компании. Ущерб для таких отраслей особенно болезнен из-за простоя, давления регуляторов и зависимости от цепочек поставок. Среди стран с наибольшим числом пострадавших упоминаются США, Великобритания, Германия, Канада и Испания.
Для первичного доступа Qilin использует уязвимости во внешних сервисах, украденные учётные данные, социальную инженерию и плохо защищённые VPN без многофакторной аутентификации. Внутри сети злоумышленники создают учётные записи администраторов, меняют настройки удалённого доступа, выгружают пароли из LSASS, используют Mimikatz и SharpDecryptPwd, а также отключают защитные средства через уязвимые драйверы и инструменты вроде DarkKill и HRSword.
После закрепления в инфраструктуре атакующие разведывают домен, ищут сетевые ресурсы, применяют PsExec, RDP, SSH, ScreenConnect и AnyDesk. Перед шифрованием данные архивируются через WinRAR и выводятся в облачные или файловые сервисы. Qilin удаляет теневые копии, мешает восстановлению и добавляет к зашифрованным файлам расширение .qilin либо индивидуальные метки жертвы.
Группировка усилила давление на пострадавших не только кражей данных и шифрованием. В арсенале Qilin появились DDoS-угрозы и функция «Call Lawyer», которая помогает партнёрам давить на компании через риски штрафов, судебных претензий и репутационного ущерба. Такой подход показывает, что современные вымогатели всё чаще продают не просто вредоносный код, а полноценную криминальную инфраструктуру для многоступенчатого шантажа.
