麒麟
Qilinランサムウェアグループ(以前の名称Agendaでも知られる)は、2022年に出現した洗練されたRansomware-as-a-Service(RaaS)オペレーションであり、それ以来、二重の恐喝戦術、高度なカスタマイズ、急速に拡大するアフィリエイトネットワークを通じて、世界中の重要なセクターを標的とし、最も活発で適応力のあるサイバー恐喝脅威の1つに進化しています。
麒麟の背景
グループは当初、アジェンダという名前で活動していた(最初の観測は2022年半ば)。2022年9月までに(神話上の生物にちなんで)Qilinとして再ブランド化した。 そのため、"Qilinランサムウェア "はAgendaまたはQilin/Agendaと呼ばれることもある。
QilinはRansomware-as-a-Service (RaaS)として運営されており、そのツール、インフラ、リークサイトを使って攻撃を行うアフィリエイトをサポートしている。アフィリエイトの利益分配が報告されており、多くの場合、オペレーターは約15~20%の利益を得ている。報告によっては、特定のしきい値を超える身代金については、より大規模な攻撃を奨励するために、アフィリエイトは80~85%を保持する(つまり、オペレーターの取り分は少なくなる)ことがある。
決定的な帰属は不明だが、中核的な運営者はロシア人、あるいは旧ソ連/CIS諸国を拠点とする人物であることを示す証拠がある:
- ランサムウェアのバイナリには、ロシアや東欧のロケールを持つシステムでの実行を回避するための「キルスイッチ」や言語チェックが含まれていることがある。
- アフィリエイトの勧誘は、ロシア語のアンダーグラウンド・フォーラムで行われている。
- CIS / ロシア(旧ソ連)の組織を攻撃しないという方針は、多くのロシア起源のランサムウェアグループと一致しています。
- 攻撃のタイミング、コードの再利用、操作上のシグネチャ、言語使用はすべて東欧のサイバー犯罪文化と一致している。
Qilin/Agendaは当初Golangで実装されていたが、その後のバージョンではRustと更新されたツールで観測されている。ランサムウェアのペイロードとアフィリエイト・パネルはカスタマイズ可能です(つまり、アフィリエイトはスキップするファイルタイプやディレクトリ、暗号化モード、強制終了するプロセスなどを選択できます)。このグループは、リーク・サイト/ブログ、アフィリエイトのための「法的支援」コンポーネント、自動化された交渉、DDoS機能、スパムサポートなどの機能を追加し、時間をかけて提供するサービスを強化してきた。
麒麟の対象産業
- ヘルスケアと医療サービスQilin は、重要なデータや業務上の機密性から価値の高い医療プロバイダー、診断サービス、血液検査ラボを繰り返しターゲットにしている。
- 製造・産業:生産施設や部品メーカーを攻撃。
- 建設、エンジニアリング、インフラストラクチャー:建設コンサルタン ト会社や関連企業のいくつかのレポートが掲載された。
- テクノロジー、ソフトウエア、ITサービス: 他のネットワークへの接続性とアクセスがあるため。
- 金融、専門サービス:特に機密データや顧客データを入手できる場合、標的にされることがある。
- 消費財/工業製品: アサヒグループ(日本、飲料/ビール)への最近の攻撃は、大規模コングロマリットへの拡大の一例である。
麒麟の犠牲者
Qilinは世界中で895人以上の被害者を出している。
麒麟の攻撃方法
公開されたリモートサービス(RDP、VPNなど)の使用、公開アプリケーション/ソフトウェアの脆弱性の悪用、 フィッシング / スピアフィッシング キャンペーン、時には公開された FortiGate デバイスの使用。
有効なアカウント/クレデンシャルの使用(購入、盗難、またはラテラルトラバーサル)、トークンの盗難/なりすまし、プロセスインジェクション、ソフトウェアやOSの脆弱性の悪用が考えられます。
ログの削除/システム・イベント・ログの消去、セキュリティ/アンチウイルス・サービスの無効化または終了、実行の難読化、検出を回避するためにスキップするディレクトリ/ファイルの選択、定期的なクリーニング・スレッド。
メモリからのクレデンシャルの抽出、LSASS、クレデンシャル・ダンピング、漏洩したクレデンシャルの再利用、またはバックアップ・ソフトウェア構成ストアの悪用。
ネットワークとホストの偵察、共有、ドメイン・コントローラーの特定、ルーティング・パスの発見、ファイル・サーバーとデータ・ストアのマッピング。
有効な認証情報またはリモートサービスを使用し、ネットワーク経由で複製、SMB、RPC、リモートコマンド実行によるピボット、価値の高いシステムやバックアップサーバーへの拡散。
関心のあるデータ(データベース、文書、機密ファイルなど)の集約、流出バンドル のステージング、流出データの圧縮/暗号化。
ランサムウェアのペイロードの展開。多くの場合、パラメータ付きのコマンドライン経由で実行され、カスタム実行可能ファイル(「w.exe」など)を使用し、バックアップやVMインフラを活用して暗号化を伝播する。
盗んだデータを攻撃者が管理するサーバーにアップロードする(多くの場合、暗号化する前に)(二重恐喝モデル)。暗号化されたチャネルやプロキシツールを使用し、場合によってはプロキシmalware マルウェアチェーンを経由する。
被害システム上のデータの暗号化(多くの場合、AES-256 + RSA-2048のハイブリッド暗号化)、バックアップの削除、身代金のメモの表示、データ漏洩の脅迫、システムへのアクセス拒否。
公開されたリモートサービス(RDP、VPNなど)の使用、公開アプリケーション/ソフトウェアの脆弱性の悪用、 フィッシング / スピアフィッシング キャンペーン、時には公開された FortiGate デバイスの使用。
有効なアカウント/クレデンシャルの使用(購入、盗難、またはラテラルトラバーサル)、トークンの盗難/なりすまし、プロセスインジェクション、ソフトウェアやOSの脆弱性の悪用が考えられます。
ログの削除/システム・イベント・ログの消去、セキュリティ/アンチウイルス・サービスの無効化または終了、実行の難読化、検出を回避するためにスキップするディレクトリ/ファイルの選択、定期的なクリーニング・スレッド。
メモリからのクレデンシャルの抽出、LSASS、クレデンシャル・ダンピング、漏洩したクレデンシャルの再利用、またはバックアップ・ソフトウェア構成ストアの悪用。
ネットワークとホストの偵察、共有、ドメイン・コントローラーの特定、ルーティング・パスの発見、ファイル・サーバーとデータ・ストアのマッピング。
有効な認証情報またはリモートサービスを使用し、ネットワーク経由で複製、SMB、RPC、リモートコマンド実行によるピボット、価値の高いシステムやバックアップサーバーへの拡散。
関心のあるデータ(データベース、文書、機密ファイルなど)の集約、流出バンドル のステージング、流出データの圧縮/暗号化。
ランサムウェアのペイロードの展開。多くの場合、パラメータ付きのコマンドライン経由で実行され、カスタム実行可能ファイル(「w.exe」など)を使用し、バックアップやVMインフラを活用して暗号化を伝播する。
盗んだデータを攻撃者が管理するサーバーにアップロードする(多くの場合、暗号化する前に)(二重恐喝モデル)。暗号化されたチャネルやプロキシツールを使用し、場合によってはプロキシmalware マルウェアチェーンを経由する。
被害システム上のデータの暗号化(多くの場合、AES-256 + RSA-2048のハイブリッド暗号化)、バックアップの削除、身代金のメモの表示、データ漏洩の脅迫、システムへのアクセス拒否。
麒麟が使用したTTP
Vectra AIで麒麟を検知 方法
よくあるご質問(FAQ)
麒麟の主な動機は?
Qilinは金銭的な動機で動いている。その活動の中心は、ランサムウェア(暗号化+リーク)による恐喝だ。彼らの公開リークサイトやキャンペーンには、あからさまなイデオロギーや政治的メッセージはない。
Qilinはどのようにして関連会社が規則を遵守するようにしているのか(CIS地域を攻撃しないなど)。
ランサムウェアのバイナリには、ロシア/東欧のロケールでの実行を防ぐための言語ベースのキルスイッチが含まれている場合があります。また、アフィリエイト契約におけるポリシー(例えば、CIS/ロシアのエンティティをターゲットにすることを禁止する)を強制することもある。
Qilinは最新のEDR/XDRシステムで検出またはブロックできますか?
多くのセキュリティ・ベンダーは、自社のツールがQilin/Agendaの動作を検知 できると主張しているが、Qilinとその関連会社が使用するカスタマイズ性、難読化、ログ・クリーニングの手口により、検知は困難である。したがって、堅牢なエンドポイント、異常検知、ネットワーク・セグメンテーション、セキュリティ・モニタリングが極めて重要である。
麒麟の攻撃に対抗するために、組織はどのような準備をすべきなのか?
防衛戦略には以下のようなものがある:
- 強力な認証とクレデンシャルの衛生管理(多要素、最小権限、クレデンシャル保管庫)。
- パッチ適用と脆弱性管理(特に公衆向けアプリ、バックアップソフトウェア、VPN)。
- ネットワークのセグメンテーションと重要システムの分離(特にバックアップ)。
- 異常な動作(異常な接続、スキャン、新しいバイナリ)の監視。
- 頻繁で不変なバックアップ(オフネットワーク、エアギャップコピーを含む)。
- インシデント対応の計画と演習(卓上訓練を含む)。
- 純粋にシグネチャに依存するのではなく、ビヘイビアベースの検知を行う脅威検知・対応ソリューションの使用。
- 脅威インテリジェンスと脅威ハンティングは、麒麟の関連会社の指標に焦点を当てた。
典型的な麒麟の攻撃は、侵害から影響まで、どのような時系列で行われるのでしょうか?
時系列は被害者や関連企業によって異なりますが、多くの場合、次のようなパターンがあります。 フィッシング数時間から数日にわたる横の動きと偵察、機密データの流出、システムの迅速な暗号化、そして身代金の要求という流れです。特に自動化が進んでいる場合、侵害後数時間以内に暗号化を展開するキャンペーンもあります。
被害者は麒麟と安全に交渉、支払いができるのか?
Qilinを含むランサムウェアでは交渉が一般的である。しかし、支払うことには、復号化キーの不交付、さらなる恐喝、支払いにもかかわらず漏えい、さらなる侵害などのリスクが伴います。一部のアフィリエイトやオペレーターは取引を守るかもしれませんが、保証はありません。被害者は、法的リスク、風評リスク、運営上のリスクを慎重に評価し、経験豊富なインシデント対応および法律顧問を雇うことが理想的です。
Qilin/Agenda用の公開復号器はありますか?
現在公開されているオープンソースの時点では、Qilinで暗号化されたデータを支払いなしで確実に復号化できる公開復号化ツールは知られていない。
Qilinは他のランサムウェアグループ(LockBitやBlack Basta)と比べてどうですか?
Qilinの特徴は、アフィリエイトの柔軟性の高さ、プロモーション機能(パネル内の「コール弁護士」など)、急成長である。麒麟は、他のRaaS事業(例えばLockBitの事業中断後)の混乱によって離散したアフィリエイトを吸収してきた。州レベルで高度に調整されたオペレーションよりも、日和見的なターゲティングを行う傾向がある。
脅威インテリジェンスやダークウェブの雑談における警告サイン(レッドフラッグ)とは何か?
- アングラ掲示板に麒麟のアフィリエイト募集書き込み。
- 麒麟のリークサイトに掲載された新しいブログ記事や被害者のリーク。
- Qilinランサムウェアの新しいバージョンのバイナリ(Rustなど)がmalware リポジトリに現れる。
- 大規模な麒麟キャンペーンや、数十人から数百人の犠牲者が出たとする報道。