Qilin Ransomware Combines Linux Payload With BYOVD Exploit in Hybrid Attack

Qilin Ransomware : Une Menace Hybride Evoluée

Le groupe de ransomware Qilin, également connu sous les noms d’Agenda, Gold Feather et Water Galura, s’est imposé comme l’une des opérations les plus actives dans le domaine du ransomware-as-a-service (RaaS). Il a ciblé plus de 40 victimes par mois début 2025, avec un pic de 100 cas en juin. Les pays les plus touchés sont les États-Unis, le Canada, le Royaume-Uni, la France et l’Allemagne, affectant principalement les secteurs de la fabrication, des services professionnels et scientifiques, et du commerce de gros.

Points Clés de l’Attaque :

• Accès Initial : Exploitation de identifiants administratifs compromis sur le dark web, souvent via une connexion VPN, suivie d’une connexion RDP au contrôleur de domaine. Des campagnes de spear-phishing et de fausses pages de vérification CAPTCHA hébergées sur des infrastructures Cloudflare R2 ont également été observées pour déclencher l’exécution de charges utiles malveillantes.
• Phase de Reconnaissance et de Récolte d’Identifiants : Les attaquants effectuent une reconnaissance système et réseau. Ils utilisent des outils tels que Mimikatz, WebBrowserPassView.exe, BypassCredGuard.exe et SharpDecryptPwd pour voler des identifiants à partir de diverses applications. Les logs d’événements Windows sont effacés, et les copies d’ombre (VSS) sont supprimées pour masquer leurs actions.
• Évasion des Défenses : Exécution de commandes PowerShell pour désactiver AMSI, désactiver la validation des certificats TLS, et activer le mode “Restricted Admin”. Des outils comme dark-kill et HRSword sont utilisés pour désactiver les logiciels de sécurité. Cobalt Strike et SystemBC sont déployés pour un accès à distance persistant.
• Mouvement Latéral : Les identifiants volés permettent l’escalade de privilèges et le mouvement latéral. L’installation de plusieurs outils de gestion et de surveillance à distance (RMM) comme AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist et ScreenConnect est observée.
• Technique Hybride : Une évolution notable implique le déploiement d’une variante Linux du ransomware sur des systèmes Windows. Cette approche combine l’utilisation d’un pilote vulnérable (BYOVD), notamment “eskle.sys”, pour désactiver les solutions de sécurité et échapper à la détection. L’utilisation de PuTTY facilite le mouvement vers des systèmes Linux.
• Ciblage des Sauvegardes : Les attaquants ciblent spécifiquement les infrastructures de sauvegarde Veeam pour voler des identifiants, compromettant ainsi les capacités de reprise après sinistre des organisations.
• Exécution Finale : Splashtop Remote est utilisé pour exécuter directement la charge utile ransomware Linux sur les systèmes Windows. Des instances de proxy SOCKS (via le backdoor COROXY) sont utilisées pour masquer le trafic de commande et de contrôle.

Vulnérabilités Exploités :

L’article ne mentionne pas de CVE spécifiques directement attribuables à Qilin. Cependant, l’exploitation des vulnérabilités réside dans :

• L’abus de comptes légitimes et d’identifiants compromis.
• L’exploitation de la technique Bring Your Own Vulnerable Driver (BYOVD) pour désactiver les mesures de sécurité.
• La non-sécurisation des infrastructures de sauvegarde, permettant la compromission des données de récupération.
• La possibilité que des vulnérabilités dans les outils RMM ou les mécanismes d’accès à distance soient exploitées, bien que cela ne soit pas explicitement détaillé.

Recommandations :

• Renforcer la gestion des identifiants : Mettre en œuvre des politiques de mots de passe robustes, une authentification multifacteur (MFA) partout où cela est possible, et surveiller activement les identifiants compromis sur le dark web.
• Sécuriser l’accès à distance : Restreindre les accès RDP et VPN aux seuls utilisateurs nécessaires, et utiliser des solutions d’accès sécurisé avec MFA.
• Surveiller et limiter les outils légitimes : Surveiller l’installation et l’utilisation d’outils RMM et d’autres utilitaires légitimes, car ils peuvent être détournés par les attaquants.
• Mettre à jour et patcher régulièrement : Assurer que tous les systèmes d’exploitation, applications et firmwares sont à jour pour corriger les vulnérabilités connues.
• Protéger les infrastructures de sauvegarde : Isoler les systèmes de sauvegarde, utiliser des solutions de sauvegarde sécurisées avec des mécanismes de protection contre la modification ou la suppression (comme les “immutables backups”), et tester régulièrement les procédures de restauration.
• Renforcer la détection et la réponse : Déployer des solutions de sécurité avancées (EDR, SIEM) et mettre en place des plans de réponse aux incidents bien rodés. Surveiller activement les indicateurs de compromission (IoC) associés à Qilin.
• Segmentation du réseau : Segmenter le réseau pour limiter la portée d’une éventuelle intrusion et entraver le mouvement latéral des attaquants.
• Formation et sensibilisation : Former les employés aux risques du phishing et aux bonnes pratiques de sécurité.

Source