L’analisi di Cisco ha come protagonista l’ondata di attacchi ransomware Qilin. Una minaccia che diventa sempre più sofisticata e aggressiva per l’industria globale. Secondo l’analisi, Qilin colpisce oltre 40 nuove vittime ogni mese nella seconda metà del 2025, con picchi che hanno superato le 100 organizzazioni compromesse nei mesi di giugno e agosto. Il ransomware non è un nome nuovo per gli esperti della cybersecurity. Scoperto nel 2022, si è evoluto rapidamente in una vera e propria piattaforma di ransomware-as-a-service (RaaS), fornendo strumenti e supporto a criminali informatici di tutto il mondo.
Il modello della doppia estersione
Il suo modello di attacco si basa sulla cosiddetta “doppia estorsione”. Non solo i dati delle vittime vengono cifrati e resi inaccessibili. Vengono anche sottratti con la minaccia di pubblicazione, aumentando la pressione psicologica e mediatica sulle organizzazioni colpite. Il settore più bersagliato è quello manifatturiero, che rappresenta circa un quarto delle vittime totali. Seguono i servizi professionali e il commercio all’ingrosso. A livello geografico, gli attacchi si sono concentrati soprattutto in Nord America ed Europa. Stati Uniti, Canada, Regno Unito, Francia e Germania tra i Paesi più colpiti.
Il modus operandi del ransomware Qilin
Dal punto di vista tecnico, Qilin si distingue per la varietà e la flessibilità dei suoi strumenti, che lo rendono compatibile con diverse piattaforme. Gli attacchi iniziano spesso con la compromissione di dispositivi di accesso remoto oppure sfruttando vulnerabilità note. Una volta ottenuto l’accesso, i criminali informatici si muovono lateralmente nella rete, utilizzando strumenti legittimi per diffondersi e per esfiltrare i dati.
Un dettaglio inquietante emerso dall’analisi di Cisco Talos è l’utilizzo di programmi apparentemente innocui, come Notepad o Paint, per visualizzare i file rubati prima della cifratura. Questo comportamento suggerisce una pianificazione meticolosa e una volontà di selezionare con cura le informazioni più sensibili da sfruttare nella fase di estorsione.
Cifrare i dati
La fase finale dell’attacco prevede la cifratura dei dati, spesso eseguita in due momenti distinti. Un primo programma si occupa di propagarsi nella rete, mentre un secondo si concentra sulla cifratura. I dati rubati vengono poi pubblicati nel dark web su siti gestiti da infrastrutture offshore molto difficili da rintracciare. In alcuni casi, le vittime vengono addirittura invitate a contattare un avvocato tramite il sito degli attaccanti, un servizio che mira a facilitare il pagamento del riscatto.
Cosa guadagna il ransomware Qilin
L’impatto economico di Qilin è significativo: soltanto nel 2024 si stima che il gruppo ransomware abbia incassato oltre 50 milioni di dollari in riscatti. Le varianti più recenti del ransomware sono particolarmente evolute. Infatti non esistono al momento strumenti di decrittazione pubblici. Inoltre gli attacchi sono progettati per cancellare ogni traccia, rendendo difficile anche la ricostruzione forense.
I consigli di Cisco
Di fronte a questa minaccia, Cisco Talos raccomanda una serie di misure urgenti. È fondamentale aggiornare immediatamente tutti i software con vulnerabilità note, in particolare quelli legati all’accesso remoto e ai backup. L’autenticazione a più fattori, la segmentazione della rete, il monitoraggio dei comportamenti anomali e la formazione del personale sono strumenti essenziali per ridurre il rischio. Anche il backup offline dei dati critici deve tornare ad essere una priorità assoluta.
La conclusione
In conclusione, Qilin rappresenta oggi una delle minacce ransomware più evolute e pervasive. La sua capacità di adattarsi, di colpire settori strategici e di sfruttare infrastrutture criminali globali impone una risposta decisa e coordinata da parte delle aziende, delle istituzioni e dei governi.
