Source: https://thehackernews.com/2025/10/qilin-ransomware-combines-linux-payload.html
🛡 概要
Qilinランサムウェアグループは2025年の初めから毎月40件以上の被害者を出しており、特に6月にはデータ漏洩サイトへの投稿が100件にも達しました。RaaS(ランサムウェア・アズ・ア・サービス)として急成長しているこのグループは、製造業や専門サービスを主なターゲットにしています。攻撃は、ダークウェブで漏洩した管理者資格情報を利用して初期アクセスを行い、RDP接続を通じてドメインコントローラーに侵入することから始まります。
🔍 技術詳細
Qilinの攻撃は、RDPやSSH、Citrixに関連する資格情報を収集するために、MimikatzやWebBrowserPassViewなどのツールを使用します。これにより、攻撃者はシステム内の機密データにアクセスし、資格情報を外部SMTPサーバーに送信します。また、QilinはLinuxランサムウェアをWindowsシステムに展開し、BYOVD(Bring Your Own Vulnerable Driver)技術を利用してセキュリティを回避します。特に「eskle.sys」ドライバを使用することで、セキュリティソリューションを無効化し、攻撃を隠蔽します。
⚠ 影響
Qilinの攻撃は、特に製造業やバックアップインフラに大きな影響を与えています。攻撃者はVeeamのバックアップシステムをターゲットにし、資格情報を収集することで災害復旧能力を無効化します。また、攻撃の最終段階では、ファイルを暗号化し、身代金メモを各フォルダに残します。これにより、企業はデータアクセスを失い、運営に深刻な影響を受ける可能性があります。
🛠 対策
企業は、Qilinのような攻撃に対抗するために、強固なセキュリティ対策を講じる必要があります。具体的には、ダークウェブでの資格情報漏洩を防ぐための監視、RDPおよびSSHの適切な設定、定期的なパッチ適用を行うことが重要です。また、ユーザー教育を通じてフィッシング攻撃に対する認識を高めることも必要です。さらに、バックアップシステムのセキュリティを強化し、異常な活動を検知するための監視ツールを導入することが推奨されます。
