A Qilin zsarolóvírus egyre aktívabb és veszélyesebb fenyegetést jelent a kibertérben, amely új módszerekkel igyekszik elkerülni a hagyományos biztonsági megoldások észlelését. A kiberbűnözők a Windows Subsystem for Linux (WSL) funkciót használják arra, hogy Linux alapú titkosító programokat futtassanak Windows rendszereken, így hatékonyan kijátsszák a megszokott védelmi eszközöket.
A Qilin zsarolóvírus története és működése
A Qilin zsarolóvírus eredetileg Agenda néven indult 2022 augusztusában, majd 2022 szeptemberére átnevezték Qilin-re, és azóta is ezen a néven működik. Az elmúlt időszakban az egyik legaktívabb zsarolóvírus-műveletként tartják számon, amely 2025-ben több mint 700 áldozatot támadott meg világszerte, összesen 62 országban.
A Trend Micro és a Cisco Talos kutatásai szerint a Qilin csoport havonta átlagosan több mint 40 új áldozatot publikál, így az egyik leggyakoribb ransomware fenyegetéssé vált globálisan. A támadók különféle legitim programokat és távoli menedzsment eszközöket használnak hálózatok feltörésére és hitelesítő adatok ellopására.
Használt eszközök és módszerek
A Qilin támadók többek között az alábbi alkalmazásokat vetik be:
- Távoli hozzáféréshez: AnyDesk, ScreenConnect, Splashtop
- Adatlopáshoz: Cyberduck, WinRAR
- Beépített Windows eszközök: Microsoft Paint (mspaint.exe), Jegyzettömb (notepad.exe) – ezekkel vizsgálják át az érzékeny dokumentumokat lopás előtt.
Sérülékeny illesztőprogramokkal a biztonsági szoftverek kikapcsolásáért
A Trend Micro és a Cisco Talos megfigyelései szerint a Qilin támadók úgynevezett Bring Your Own Vulnerable Driver (BYOVD) technikát alkalmaznak, amely során aláírt, de sebezhető illesztőprogramokat telepítenek annak érdekében, hogy leállítsák az antivírus és EDR (Endpoint Detection and Response) folyamatokat.
Például az eskle.sys nevű illesztőprogrammal megszüntetik a védelmi szoftverek működését, majd DLL sideloading technikával további kernel szintű jogosultságokat biztosító drivereket (pl. rwdrv.sys, hlpdrv.sys) juttatnak be. A támadók olyan nyílt forráskódú eszközöket is használnak, mint a „dark-kill” vagy „HRSword”, amelyek képesek leállítani biztonsági programokat és eltüntetni a rosszindulatú tevékenység nyomait.
Cisco Talos szakértői elmondták: „Többféle módszerrel próbálkoztak az EDR-ek leállításával. Gyakran láttunk parancsokat, amelyek közvetlenül futtatják az EDR-ek ‘uninstall.exe’ fájlját vagy megpróbálják leállítani szolgáltatásokat az sc parancs segítségével.”
A Linux titkosító futtatása Windows rendszeren WSL-en keresztül
2023 decemberében a BleepingComputer beszámolt egy új Qilin Linux titkosítóról, amely különösen fókuszál VMware ESXi virtuális gépek és szerverek titkosítására. Ez az encryptor parancssori opciókat kínál például hibakeresési mód engedélyezésére vagy tesztfuttatásra anélkül, hogy ténylegesen titkosítana fájlokat.
A Trend Micro kutatói most arról számoltak be, hogy a Qilin támadók WinSCP-t használnak arra, hogy ezt a Linux ELF formátumú titkosítót átvigyék a kompromittált gépekre. Ezután a Splashtop távoli menedzsment szoftveren (SRManager.exe) keresztül indítják el azt közvetlenül Windows alatt.
Mivel az ELF végrehajtható fájlok nem futtathatók natívan Windows rendszeren, szükség van egy futtatókörnyezetre – ebben segít a Windows Subsystem for Linux (WSL). A WSL lehetővé teszi Linux disztribúciók telepítését és futtatását közvetlenül Windows környezetben anélkül, hogy virtuális gépet kellene használni.
A Trend Micro megerősítette: miután a támadók hozzáférést szereznek egy rendszerhez, engedélyezik vagy telepítik a WSL-t parancssori eszközökkel vagy szkriptekkel, majd ezen belül indítják el a Linux alapú ransomware payloadot. Ezáltal sikeresen megkerülik azokat a hagyományos Windows biztonsági megoldásokat, amelyek nem figyelik megfelelően a WSL környezetben zajló folyamatokat.
„A fenyegetők kihasználják azt, hogy sok Windows EDR termék csak Windows PE viselkedést vizsgál, így nem érzékelik az WSL-ben zajló rosszindulatú tevékenységet” – nyilatkozta a Trend Micro.
Kiberbiztonsági tanulságok és jövőbeli kilátások
A Qilin zsarolóvírus példája jól mutatja, hogyan alkalmazkodnak a kiberbűnözők egyre inkább hibrid Windows-Linux környezetekhez annak érdekében, hogy minél szélesebb körben tudjanak károkat okozni és elkerüljék az ismert védekezési mechanizmusokat.
Egy friss jelentés szerint 2025-ben az érintett környezetek 46%-ában történt jelszófeltörés – ez majdnem kétszerese az előző évi 25%-nak. Ez is rámutat arra, hogy mennyire fontos az erős hitelesítés és folyamatos monitorozás alkalmazása.
Szerezze be most a Picus Blue Report 2025-öt, amely átfogó elemzést nyújt további megelőzési stratégiákról, detektálási technikákról és adatlopási trendekről.