Depuis son émergence en juillet 2022, ce logiciel malveillant a su se distinguer par son approche innovante, combinant des attaques sur des systèmes Linux et l’exploitation de la technique BYOVD (Bring Your Own Vulnerable Driver). Cette attaque hybride permet à Qilin de contourner efficacement les barrières de sécurité traditionnelles, rendant la détection et la prévention des incidents plus complexes pour les entreprises ciblées. Cet article explore les mécanismes sophistiqués de Qilin et les conséquences de ses actions sur divers secteurs.
Découverte du ransomware Qilin
Depuis sa première apparition, le groupe Qilin (également connu sous les noms Agenda, Gold Feather et Water Galura) revendique plus de 40 victimes chaque mois, atteignant un pic de 100 cas en juin 2025. Selon les données de Cisco Talos, les pays les plus touchés incluent les États-Unis, le Canada, le Royaume-Uni, la France et l’Allemagne, principalement dans les secteurs de la fabrication, des services professionnels et de la vente en gros. Des incidents notables incluent l’attaque contre le Shamir Medical Center en Israël, perturbant gravement les services médicaux.
Méthodologie d’attaque hybride
Les attaques de Qilin utilisent une combinaison de techniques avancées, incluant l’utilisation de logiciels malveillants pour Linux et l’exploitation de vulnérabilités BYOVD. Les affiliés de Qilin exploitent des identifiants administratifs divulgués sur le dark web pour accéder initialement via une interface VPN, puis établissent des connexions RDP vers le contrôleur de domaine.
Une fois infiltrés, ils effectuent une reconnaissance système et une découverte réseau, utilisant des outils comme Mimikatz et SharpDecryptPwd pour extraire des informations sensibles. De plus, le groupe a récemment été lié aux attaques qui ont ciblé les serveurs de Kraken Ransomware, augmentant encore leur capacité d’infiltration.
Conséquences et stratégies de prévention
Les attaques de Qilin entraînent des perturbations majeures pour les entreprises, incluant le vol de données sensibles et la double extorsion, où les attaquants exigent une rançon tout en menaçant de publier les données volées.
Pour se prémunir contre de telles menaces, il est essentiel de renforcer la sécurité des infrastructures IT, notamment en surveillant les accès VPN et en mettant à jour régulièrement les systèmes pour corriger les vulnérabilités. Selon Acronis, il y a eu un boom des attaques par ransomware et par e-mail en 2024, soulignant la nécessité de solutions avancées de cryptographie et de détection des intrusions pour limiter l’impact des attaques hybrides.
