Cisco Talos: хакеры из Qilin публикуют данные более 40 жертв ежемесячно и расширяют масштабы двойного вымогательства по всему миру

Компания Cisco Talos опубликовала исследование, в котором подробно описана деятельность вымогательской группировки Qilin во второй половине 2025 года. По данным отчёта, злоумышленники стабильно публикуют более 40 новых жертв каждый месяц, подтверждая статус одной из самых активных групп в сфере кибершантажа. В июне и августе число публикаций достигло пиковых значений — до 100 инцидентов в месяц.

Группировка действует по схеме двойного вымогательства, одновременно шифруя данные и угрожая раскрытием украденной информации в случае отказа от выплаты. Такой подход усиливает давление на пострадавших, вынуждая их платить не только за восстановление данных, но и за сохранение конфиденциальности. В отчёте подчёркивается, что основной целью атак становятся компании из производственного сектора, а также организации, работающие в области научных и профессиональных услуг, оптовой торговли и логистики.

Qilin, ранее известная под именем Agenda, с момента своего появления в 2022 году активно развивает модель «вымогательского ПО как услуги» (RaaS).

Подразделения, использующие её инструменты, действуют в США, Канаде, Великобритании, Германии и Франции. Согласно данным Cisco Talos, атаки всё чаще сопровождаются масштабными утечками данных, а характер используемых артефактов указывает на возможную связь с восточноевропейскими или русскоязычными операторами: в некоторых скриптах зафиксирована кириллическая кодировка.

Исследователи также зафиксировали необычные технические подходы в инфраструктуре атак. Для эксфильтрации данных используется Cyberduck — легитимный инструмент с открытым исходным кодом, позволяющий маскировать вредоносный трафик под обычные операции с облачными хранилищами.

Также обнаружено применение стандартных программ Windows, таких как notepad.exe и mspaint.exe, которые использовались для предварительного просмотра файлов перед их отправкой за пределы сети.

Операторы Qilin, как правило, задействуют сразу два шифратора. Один распространяется по инфраструктуре с помощью утилиты PsExec, захватывая системы по горизонтали, другой запускается с одного хоста для целевого шифрования сетевых ресурсов. Кроме этого, в отчёте описаны дополнительные методы, которые позволяют злоумышленникам углубиться в инфраструктуру и избежать обнаружения.