Qilin-Ransomware: Hybridangriffe mit Linux-Payload und BYOVD : Wie die Gruppe Qilin hybride Techniken nutzt, um Netzwerke zu kompromittieren und Sicherungen anzugreifen.
Die Ransomware-Gruppe Qilin zählt zu den gefährlichsten Akteuren des Jahres 2025. Mit gestohlenen Zugangsdaten, ausgeklügeltem Credential Harvesting und dem Missbrauch legitimer Verwaltungstools kombiniert sie raffinierte Angriffstechniken. Ihr neuester Coup: eine Linux-basierte Ransomware, die auch Windows-Systeme lahmlegt – gezielt, um Sicherungen zu sabotieren und Wiederherstellung unmöglich zu machen.
Qilin, auch bekannt unter den Namen Agenda, Gold Feather und Water Galura, ist seit Mitte 2022 als Ransomware-Gruppe aktiv. Sie arbeitet nach dem Prinzip „Ransomware-as-a-Service“ – das heißt, sie vermietet ihre Schadsoftware an andere Kriminelle. Seit Beginn des Jahres 2025 verzeichnet Qilin eine hohe Zahl an Angriffen. Im Juni 2025 wurden auf der eigenen Erpressungsplattform rund hundert neue Opfer veröffentlicht. Besonders betroffen sind Unternehmen in den Vereinigten Staaten, Kanada, Großbritannien, Frankreich und Deutschland – vor allem aus der Fertigungsindustrie, aus wissenschaftlichen und technischen Dienstleistungsbereichen sowie aus dem Großhandel.
Angriffsablauf: Vom Zugang zur totalen Kompromittierung
Angreifer beginnen oft mit gestohlenen Administratorzugängen, die im Darknet verkauft werden. Über eine Verbindung mit einem virtuellen privaten Netzwerk gelangen sie ins Zielnetz, melden sich per Remote-Desktop-Verbindung am Domänencontroller oder anderen Rechnern an und erkunden dann das Netzwerk, um lohnende Ziele zu finden. Anschließend setzen die Täter spezielle Werkzeuge ein, um Anmeldeinformationen aus Programmen und früheren Anmeldungen auszulesen. Dabei kommen unter anderem diese Tools zum Einsatz:
Talos fasst die Gefahr so zusammen: „Befehle über Mimikatz zielten auf sensible Daten und Systemfunktionen ab, etwa das Löschen von Ereignisprotokollen, das Setzen von SeDebugPrivilege und das Auslesen gespeicherter Passwörter aus dem Chrome-Speicher.“
Kurz gesagt: Mit geleakten Zugangsdaten und den genannten Werkzeugen verschaffen sich Angreifer erhöhte Rechte, bewegen sich seitlich im Netzwerk und bereiten so die Grundlage für weitere Schadaktionen wie Datendiebstahl oder Ransomware.
Tarnung mit legitim wirkenden Werkzeugen
Die Angreifer nutzen gezielt legitime Werkzeuge zur Verschleierung: Programme wie Paint, Editor und Internet Explorer wurden eingesetzt, um Dateien nach sensiblen Informationen zu durchsuchen. Für den Dateitransfer benutzten die Täter das legitime Tool Cyberduck, um Exfiltration zu verschleiern. Zudem installierten sie verschiedene Remote-Überwachungs- und Verwaltungswerkzeuge, darunter AnyDesk, Chrome Remote Desktop, Distant Desktop, GoToDesk, QuickAssist und ScreenConnect. Trend Micro erklärt: „Die Angreifer missbrauchten legitime Werkzeuge, insbesondere die Installation von AnyDesk über die Atera Networks-Plattform und ScreenConnect zur Befehlsausführung. Für die finale Ausführung der Ransomware missbrauchte die Kampagne Splashtop.“
Neue Hybridtechnik: Linux-Binary auf Windows und BYOVD
Die Angreifer nutzten ein Schadprogramm in Form einer Linux-Programmdatei. Die Software war so gebaut, dass sie nicht nur Linux-Rechner, sondern auch Windows-Rechner im gleichen Netzwerk treffen konnte — also ein einziges Programm für beide Systemtypen. Trend Micro fasst das so zusammen: „Das Linux-Ransomware-Programm hatte plattformübergreifende Fähigkeiten, sodass Angreifer sowohl Windows- als auch Linux-Systeme mit einer einzigen Datei manipulieren konnten.“
Zusätzlich setzten die Angreifer die BYOVD-Methode (Bring Your Own Vulnerable Driver) ein. Das bedeutet: Sie installierten auf den Zielmaschinen einen Treiber, der bekannte Schwachstellen hatte, und nutzten diesen, um Sicherheitssoftware auszuschalten, laufende Schutzprozesse zu beenden und so Entdeckung zu vermeiden. Ein konkret beobachteter Treiber hieß „eskle.sys“. Die Gefahr liegt dabei in folgenden Punkten:
- Ein einziger Angriff kann so mehrere unterschiedliche Systeme gleichzeitig lahmlegen.
- Durch den verwundbaren Treiber verlieren Schutzprogramme ihre Wirkung, sodass die Erkennung und Abwehr erheblich erschwert wird.
Die Kombination aus einem plattformübergreifenden Ransomware-Programm und dem Einschleusen eines absichtlich verwundbaren Treibers macht die Angriffe deutlich schwerer zu stoppen und erhöht den Schaden im betroffenen Netzwerk.
Neben dem Missbrauch gültiger Konten setzten einige Angriffe gezielt auf Spear-Phishing und ClickFix-artige, gefälschte Testseiten, die Menschen von Computern unterscheiden sollen (sogenannte CAPTCHA-Seiten) und auf der Cloudflare-R2-Speicherplattform gehostet werden, um die Ausführung schädlicher Programme auszulösen.
Diese Seiten liefern offenbar Stealer aus, die Anmeldeinformationen erbeuten, welche anschließend für den Erstzugang in die Zielnetzwerke verwendet werden.
Fokus auf Backup-Infrastruktur und Folgen
Ein wiederkehrendes Muster ist die systematische Kompromittierung von Backup-Systemen, insbesondere Veeam-Umgebungen. Angreifer griffen gezielt Anmeldeinformationen aus Backup-Datenbanken ab, um Wiederherstellungsoptionen zu unterminieren, bevor die Verschlüsselung erfolgte. Nach der Infektion löschen die Täter Ereignisprotokolle und alle Schattenkopien des Windows Volume Shadow Copy Service, was die Wiederherstellung erheblich erschwert. Dadurch nötigen sie Opfer noch stärker zur Zahlung – eine Wiederherstellung wird praktisch unmöglich.
Typische Angriffs-Werkzeuge und -Techniken
- Bereitstellen einer SOCKS-Proxy-Dynamic Link Library zur Fernsteuerung und Befehlsausführung
- Missbrauch von ScreenConnect zur Ausführung von Discovery-Befehlen und Netzwerkscans
- Anvisieren der Veeam-Backupinfrastruktur zur Extraktion von Anmeldedaten
- Einsatz des Treibers „eskle.sys“ als Teil eines BYOVD-Angriffs zur Deaktivierung von Schutzsoftware und Prozessbeendigung
- Einsatz von PuTTY-SSH-Clients zur lateralen Bewegung in Linux-Umgebungen
- Nutzung von SOCKS-Proxy-Instanzen in verschiedenen Systemverzeichnissen zur Verschleierung von Steuerdatenverkehr durch den COROXY-Backdoor
- Verwendung von WinSCP für sicheren Dateitransfer der Linux-Ransomware-Binärdatei auf ein Windows-System
- Einsatz des Splashtop-Remote-Management-Dienstes zur direkten Ausführung der Linux-Ransomware auf Windows-Systemen
Abwehrmaßnahmen und operative Empfehlungen
Unternehmen sollten ihre Backup-Systeme besonders gut absichern. Der Zugriff darf nur streng kontrollierten Nutzern erlaubt sein, und die Anmeldung sollte immer durch eine Mehrfaktor-Authentifizierung geschützt werden. Zugangsdaten müssen regelmäßig geändert und ungewöhnliche Anmeldeversuche sofort überprüft werden.
Verwaltungstools sollten ausschließlich über geschützte, interne Verbindungen genutzt werden – niemals über das offene Internet. Außerdem ist es wichtig, Sicherheitssysteme so zu konfigurieren, dass sie mögliche Angriffe über eingeschleuste, fehlerhafte Treiber (BYOVD) erkennen und blockieren können.
Da Angreifer oft legale Programme missbrauchen, reicht ein klassischer Virenscanner allein nicht aus. Nur Systeme, die das Verhalten von Prozessen beobachten und verdächtige Aktivitäten analysieren, können solche Angriffe zuverlässig entdecken.
Fazit
Qilin passt sich schnell an: Die Kombination aus gestohlenen Zugangsdaten, gezieltem Sammeln von Anmeldeinformationen, dem Einsatz harmlos wirkender Verwaltungsprogramme, dem Einschleusen verwundbarer Treiber durch BYOVD und plattformübergreifenden Ransomware-Programmdateien erhöht das Risiko für schwere Betriebsstörungen. Schutz gelingt nicht mit Einzelmaßnahmen, sondern nur durch ein abgestimmtes Gesamtkonzept: strikte Zugriffskontrollen, Härtung und Schutz der Backup-Infrastruktur, lückenlose Überwachung sowie die Annahme, dass Verwaltungswerkzeuge kompromittiert sein können. Nur so lässt sich die Angriffsfläche deutlich verringern.