Trong nửa cuối năm 2025, nhóm Qilin ransomware đã củng cố vị thế là một mối đe dọa đáng gờm, liên tục công bố thông tin chi tiết về hơn 40 nạn nhân mỗi tháng trên trang rò rỉ công khai của chúng. Chiến dịch tấn công nhanh chóng và không ngừng nghỉ này đã đưa Qilin (trước đây là Agenda) trở thành một trong những băng nhóm mã độc ransomware gây ảnh hưởng lớn nhất trên toàn cầu.
Sự trỗi dậy và Chiến lược của Qilin Ransomware
Qilin xuất hiện lần đầu vào tháng 7 năm 2022, áp dụng chiến lược tống tiền kép (double-extortion). Phương pháp này kết hợp việc mã hóa tập tin với mối đe dọa công khai dữ liệu nhạy cảm của nạn nhân.
Bằng chứng từ nhóm tình báo mối đe dọa Talos cho thấy một nhịp độ hoạt động nhất quán. Nhóm này đặc biệt tập trung vào ngành sản xuất, chiếm khoảng 23% tổng số các trường hợp.
Các dịch vụ chuyên nghiệp và khoa học chiếm 18%, trong khi thương mại bán buôn chiếm 10%. Các lĩnh vực quan trọng như y tế, xây dựng, bán lẻ, giáo dục và tài chính mỗi ngành chiếm khoảng 5% số vụ việc. Các ngành công nghiệp sơ cấp và dịch vụ chung duy trì dưới 2%.
Mục tiêu Địa lý và Tần suất Tấn công
Hoa Kỳ dẫn đầu về số lượng nạn nhân, tiếp theo là Canada, Vương quốc Anh, Pháp và Đức. Khối lượng các trường hợp hàng tháng của Qilin, vượt quá 100 bài đăng vào thời điểm cao điểm mùa hè 2025, cho thấy mối đe dọa dai dẳng và toàn cầu mà nhóm này gây ra.
Trang web rò rỉ của Qilin là một phần trung tâm trong phương pháp tống tiền của chúng. Nó vừa là bằng chứng về sự xâm nhập, vừa là chiến thuật gây áp lực cao để thúc đẩy nạn nhân trả tiền chuộc.
Phân tích Kỹ thuật Chiến dịch Qilin Ransomware
Chuỗi tấn công của Qilin phản ánh nhiều chiến dịch mã độc ransomware do con người vận hành hiện đại, nhưng với những sắc thái bổ sung độc đáo. Việc phân tích các sự cố gần đây đã hé lộ một điểm khác biệt đáng chú ý trong bộ công cụ của Qilin. Thông tin chi tiết được cung cấp bởi Talos Intelligence cho thấy nhóm này sử dụng các ứng dụng Windows hợp pháp để rà soát dữ liệu.
Khai thác Điểm truy cập ban đầu và Di chuyển ngang
Truy cập ban đầu thường bắt nguồn từ việc đăng nhập VPN bằng thông tin xác thực bị rò rỉ hoặc được bán trên các diễn đàn dark web. Đáng chú ý, VPN bị khai thác trong các trường hợp này thường không cấu hình xác thực đa yếu tố (MFA), cho phép kẻ tấn công có thông tin đăng nhập truy cập không bị cản trở.
Một số trường hợp liên quan đến việc điều chỉnh chính sách nhóm (Group Policy) để kích hoạt RDP và tạo điều kiện di chuyển ngang trong môi trường Windows.
Thực hiện Trinh sát và Thu thập Thông tin đăng nhập
Kẻ tấn công Qilin thực hiện trinh sát một cách có hệ thống, thu thập danh sách người dùng, bộ điều khiển miền (domain controllers) và thông tin đặc quyền. Chúng sử dụng các công cụ tích hợp sẵn của Windows:
nltest /dclist
net user
whoami /all
tasklistTruy cập thông tin đăng nhập là một quá trình đa giai đoạn. Qilin sử dụng bộ công cụ bao gồm Mimikatz, các tiện ích NirSoft và các tập tin batch tùy chỉnh để thu thập mật khẩu và leo thang đặc quyền.
Những thông tin đăng nhập này thường cho phép kẻ tấn công lan truyền khắp mạng, thay đổi cài đặt tường lửa hoặc RDP, và tạo các chia sẻ truy cập rộng rãi để di chuyển ngang không hạn chế.
Kỹ thuật Độc đáo và Công cụ Qilin sử dụng
Một điểm khác biệt của Qilin là việc triển khai công cụ mã hóa kép. Cụ thể, encryptor_1.exe lây lan theo chiều ngang qua PsExec, lây nhiễm nhiều máy chủ, trong khi encryptor_2.exe mã hóa tập trung các chia sẻ mạng từ một điểm duy nhất.
Lạm dụng Ứng dụng Windows Hợp pháp
Phân tích sự cố gần đây đã phát hiện một phương pháp độc đáo trong bộ công cụ của Qilin: lợi dụng các ứng dụng Windows hợp pháp như mspaint.exe và notepad.exe để rà soát các tập tin chứa dữ liệu nhạy cảm.
Kỹ thuật này, hiếm khi được thấy ở quy mô lớn, có thể giúp kẻ tấn công xem xét nhanh chóng nội dung bí mật và né tránh các nền tảng bảo mật được cấu hình để chỉ chặn hoặc gắn cờ các công cụ không phải gốc hoặc công cụ “hacker” điển hình.
Các nhật ký từ môi trường nạn nhân không chỉ tiết lộ việc mở các tập tin nhạy cảm bằng Notepad và Paint, mà còn cả việc sử dụng các tiện ích mã nguồn mở như Cyberduck để đánh cắp dữ liệu sang các điểm đến đám mây. Hoạt động này thường được che giấu trong lưu lượng truy cập kinh doanh thông thường.
Né tránh Phòng thủ và Đánh cắp dữ liệu
Việc thực thi ransomware được tiến hành bởi các chiến thuật né tránh phòng thủ. Điều này bao gồm làm xáo trộn các lệnh PowerShell, vô hiệu hóa EDR (Endpoint Detection and Response) và AMSI (Antimalware Scan Interface).
Qilin cũng sử dụng cả công cụ truy cập từ xa mã nguồn mở và thương mại, bao gồm AnyDesk và ScreenConnect, để duy trì quyền kiểm soát.
Đối với việc đánh cắp dữ liệu, các tác nhân Qilin đóng gói dữ liệu thu thập được bằng các công cụ như WinRAR. Sau đó, chúng tải lên bằng Cyberduck tới bộ lưu trữ đám mây, thường là Backblaze. Dữ liệu bị lộ có thể chứa thông tin nhạy cảm, gây ra rủi ro nghiêm trọng cho các tổ chức.
Các công cụ chính được Qilin sử dụng (IOCs)
- Mimikatz: Thu thập thông tin đăng nhập, đặc biệt là mật khẩu từ bộ nhớ.
- NirSoft Utilities: Một bộ tiện ích nhỏ để khám phá thông tin hệ thống và thông tin đăng nhập.
- PsExec: Thực thi lệnh từ xa và di chuyển ngang.
- mspaint.exe & notepad.exe: Lạm dụng các ứng dụng Windows hợp pháp để xem xét dữ liệu nhạy cảm.
- Cyberduck: Công cụ truyền tải tập tin để đánh cắp dữ liệu sang dịch vụ lưu trữ đám mây.
- WinRAR: Công cụ nén tập tin được sử dụng để đóng gói dữ liệu trước khi đánh cắp.
- AnyDesk & ScreenConnect: Các công cụ truy cập từ xa để duy trì kiểm soát và tương tác với hệ thống.
Cơ chế Duy trì và Yêu cầu Chuộc của Qilin
Sau khi triển khai ransomware, Qilin để lại các ghi chú tống tiền, đề nghị khôi phục dữ liệu để đổi lấy khoản thanh toán. Các ghi chú này thường có cấu hình cụ thể cho từng ngành và nạn nhân, bao gồm danh sách trắng và danh sách đen (whitelists/blacklists) cho các tập tin, tiến trình và dịch vụ mục tiêu.
Các cơ chế duy trì (persistence mechanisms) tiếp tục đảm bảo áp lực tống tiền bằng cách thiết lập các tác vụ theo lịch trình và sửa đổi registry. Điều này cho phép kẻ tấn công duy trì quyền truy cập và kiểm soát, ngay cả sau khi hệ thống khởi động lại.
Các hiện vật từ các tập lệnh tấn công cho thấy mối liên hệ với các nhà điều hành tiềm năng từ Đông Âu hoặc các khu vực nói tiếng Nga, với các mã hóa ký tự (windows-1251/Cyrillic) xuất hiện đáng chú ý trong các tập lệnh đánh cắp thông tin đăng nhập. Tuy nhiên, các nhà phân tích cảnh báo rằng đây có thể là một dấu hiệu giả mạo có chủ đích.
Phòng ngừa và Đối phó với Qilin Ransomware
Hoạt động đang diễn ra của Qilin, bắt nguồn từ các chi nhánh phối hợp tốt, chiến thuật linh hoạt và sự lạm dụng sáng tạo các công cụ Windows thông thường, cho thấy các nhà phòng thủ phải thích ứng nhanh chóng để chống lại các cuộc tấn công ransomware này.
Kiểm kê tài sản (asset inventory), phân đoạn đặc quyền (privilege segmentation) và giám sát liên tục các hành vi ứng dụng phổ biến và bất thường vẫn là những biện pháp không thể thiếu đối với các tổ chức. Điều này nhằm mục đích ngăn chặn một trong những đối thủ mã độc ransomware hoạt động tích cực nhất năm 2025.
