# Qilin > [!warning] Grupo Mais Prolífico de 2025 > Qilin encerrou 2025 como a operação ransomware mais ativa globalmente, com mais de 1.000 vitimas e 181 postagens de vazamento em outubro de 2025. América Latina registrou 78% de aumento em ataques ransomware em 2025, com Qilin entre os grupos mais ativos na região. Brasil representou 30% das vitimas latino-americanas. ## Visão Geral O **Qilin** (anteriormente **Agenda**) é uma operação de Ransomware-as-a-Service de origem russa ativa desde **julho de 2022**. O grupo surgiu em fóruns de cibercrime russófonos como RAMP e XSS, recrutando afiliados com split de **80-85% dos pagamentos de resgaté**. Originalmente escrito em **Go (Golang)**, o ransomware foi reescrito em **Rust** em dezembro de 2022, com uma variante **Linux/ESXi** surgindo em dezembro de 2023, capaz de destruir ambientes de virtualização VMware de forma automatizada. O código apresenta similaridades com [[black-basta|Black Basta]], [[blackmatter|BlackMatter]] e [[s0496-revil|REvil]]. **Escala em 2025:** - Mais de **1.000 vitimas confirmadas** em 2025 (vs. 179 em 2024) - **181 postagens de vazamento em outubro de 2025** - recorde mensal - **24% de todos os incidentes ransomware em SLTT nos EUA** no Q2 2025 - **29% do share global** de ransomware por outubro de 2025 - Surge de atividade em fevereiro 2025 após colapso do RansomHub e migracao de afiliados ### Attack Flow - Qilin ```mermaid graph TB A["🎣 Acesso Inicial<br/>Phishing · Citrix/RDP comprometido<br/>Infostealers · T1566 · T1078"] --> B["🔑 Escalacao de Privilegio<br/>LSASS dump com Mimikatz<br/>T1003 · T1078"] B --> C["↔️ Movimento Lateral<br/>RDP · SSH · WSUS fake updates<br/>T1021"] C --> D["🛡️ Evasão<br/>Desabilita firewall e logging<br/>T1562 · NETXLOADER obfuscado"] D --> E["📦 Pre-Deploy<br/>Exfiltração de dados primeiro<br/>Dupla extorsao"] E --> F["💥 Ransomware<br/>Criptografia Rust<br/>Destruicao ESXi · T1486 · T1490"] ``` ## Campanhas Notáveis ### NHS Synnovis - Junho 2024 (UK) Em **3 de junho de 2024**, o Qilin atacou a **Synnovis**, fornecedora de servicos de patologia para o NHS London (Guys and St Thomas e Kings College Hospital). O impacto foi catastrófico para o sistema de saúde britânico: - **400 GB de dados exfiltrados** de mais de 300 milhões de interacoes de pacientes - Demanda de **US$ 50 milhões** com prazo de 120 horas - **Mais de 10.000 consultas e 1.700 cirurgias canceladas** após a recusa de pagamento - Dados vazados públicamente em **20-22 de junho** após recusa de pagamento - **Pelo menos uma morte de paciente** em Kings College Hospital atribuida indiretamente ao ataque (atraso em transfusao de sangue incompatível) - Disrupcao de servicos por **meses** - citada como um dos ataques mais impactantes ao NHS ### Conpet S.A. - Janeiro/Fevereiro 2026 (Romênia) O Qilin comprometeu a **Conpet S.A.**, operadora estatal de oleodutos da Romênia, exfiltrando cerca de **1 TB de dados** incluindo documentos financeiros, passaportes de funcionários e dados de parceiros. **Vetor de ataque:** infostealer implantado em dispositivo de administrador de TI, seguido de comprometimento de VPN, WSUS e Cacti (ferramenta de monitoramento de rede). Os sistemas OT/SCADA nao foram afetados, demonstrando que o grupo priorizou espionagem e extorsao sobre disrupcao fisica. ### Asahi Group Holdings - 2025 (Jápão) Comprometimento do conglomerado jáponês **Asahi Group Holdings**, afetando operações de pedidos e distribuição logistica do grupo. ### Volume por Mes (2024-2025) | Período | Vitimas/Mes | Observacao | |---------|------------|------------| | Ján-Ján 2025 | menos que 23 | Pre-surge | | Fevereiro 2025 | 48 | Influxo de afiliados do RansomHub | | Marco 2025 | 44 | Mantencao do volume | | Abril 2025 | 72 | Pico - grupo mais ativo do mes | | Outubro 2025 | 181 | Recorde historico | | Ján 2026 (2 semanas) | mais que 55 | Ritmo acelerado | ## Arsenal Técnico ### Ransomware Qilin (variantes) - **Variante Go**: versao original, funcional e flexivel por afiliado - **Variante Rust**: reescrita em dezembro 2022, mais eficiente e evasiva - **Variante Linux/ESXi**: surgida em dezembro 2023, destroi ambientes VMware automaticamente, aumentando impacto em datacenters corporativos - **Criptografia customizavel**: afiliados podem configurar extensoes de arquivo e comportamento de criptografia ### NETXLOADER (2025) Loader obfuscado em .NET de nova geracao, usado para deploy do Qilin (Agenda) e [[s0226-smokeloader|SmokeLoader]] a partir de servidores remotos. Representa evolução técnica do pipeline de infecção do grupo. ### CVE-2025-31324 - SAP NetWeaver O Qilin foi identificado explorando o **[[cve-2025-31324|CVE-2025-31324]]** (CVSS 9.8 - upload sem autenticação + RCE em SAP NetWeaver Visual Composer), permitindo comprometimento total de sistemas SAP sem credenciais - alvo frequente em grandes corporacoes e governos. ## TTPs Mapeados | Tática | Técnica | ID | Descrição | |--------|---------|-----|-----------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Spearphishing com anexos e links; credenciais via infostealers | | Initial Access | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | CVE-2025-31324 SAP; exploits Citrix/RDP | | Credential Access | OS Credential Dumping | [[t1003-os-credential-dumping\|T1003]] | LSASS dump via Mimikatz embarcado | | Lateral Movement | Remote Services | [[t1021-remote-services\|T1021]] | RDP, SSH e WSUS para distribuição lateral de payload | | Defense Evasion | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Desabilita firewall e logging de eventos; NETXLOADER obfuscado | | Execution | Command and Scripting | [[t1059-command-and-scripting-interpreter\|T1059]] | Scripts para automacao de criptografia e exfiltração | | Impact | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware Rust/Go com criptografia customizavel | | Impact | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Delecao de shadow copies; destruicao de backups; wipe de ESXi | | Persistence | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Credenciais comprometidas para manutenção de acesso | ## Vitimas e Setores **Setores mais afetados globalmente:** - [[healthcare|Saúde]] - NHS UK, clinicas jáponesas; dados de pacientes como alavanca de extorsao - [[government|Governo]] - municipalidades e estados dos EUA; 24% de todos os incidentes SLTT no Q2 2025 - [[manufacturing|Manufatura]] - supply chains e conglomerados industriais - [[energy|Energia]] - oleodutos (Conpet Romania); infraestrutura critica de energia - [[financial|Financeiro]] - instituicoes financeiras globais ## Relevância para o Brasil e LATAM > [!warning] Risco CRÍTICO - Vitimas Brasileiras Confirmadas > América Latina registrou 78% de aumento em ataques ransomware em 2025. O Brasil representou 30% das vitimas latino-americanas - o maior alvo da regiao. Qilin e citado explicitamente como um dos grupos mais ativos na América Latina em 2025. Vitima brasileira confirmada ("Tupi") postada no leak site em dezembro de 2025. **Setores brasileiros em risco prioritario:** - [[energy|Energia]] (petroleo, gas, energia eletrica) - perfil identico ao ataque Conpet - [[healthcare|Saúde]] - hospitais e laboratorios com infraestrutura IT desatualizada - [[financial|Financeiro]] - bancos e fintechs com dados valiosos para extorsao - [[government|Governo]] - municipalidades com baixa maturidade de segurança - [[manufacturing|Manufatura]] - industria com ambientes OT/IT nao segmentados **Indicadores de comprometimento (comportamentais):** - Atualizacoes WSUS de origem nao-Microsoft em endpoints - Presence de [[mimikatz|Mimikatz]] ou variantes em logs de EDR - Comúnicacoes via infraestrutura Tor para servidores de C2 - Infostealers em dispositivos de administradores de TI (vetor inicial tipico) - Deploy de NETXLOADER em ambientes corporativos ## Referências - [MITRE ATT&CK - Qilin (S1242)](https://attack.mitre.org/software/S1242/) - [CIS - Qilin Top Ransomware Threat Q2 2025](https://www.cisecurity.org/insights/blog/qilin-top-ransomware-threat-to-sltts-in-q2-2025) - [HIPAA Journal - NHS Synnovis Ransomware Attack](https://www.hipaajournal.com/care-disrupted-at-london-hospitals-due-to-ransomware-attack-on-pathology-vendor/) - [Industrial Cyber - Conpet Romania Qilin Attack](https://industrialcyber.co/mining-oil-gas/romanias-oil-pipeline-operator-conpet-targeted-in-cyberattack-as-qilin-alleges-1tb-data-breach/) - [The Hacker News - Qilin Leads April 2025 Ransomware Spike](https://thehackernews.com/2025/05/qilin-leads-april-2025-ransomware-spike.html) - [OSIBEYOND - Qilin Remains Major Threat 2026](https://www.osibeyond.com/blog/qilin-ransomware-remains-a-major-threat-to-smbs/) - [Industrial Cyber - LATAM Ransomware Rise 2025](https://industrialcyber.co/reports/latin-america-sees-sharp-rise-in-ransomware-hacktivist-attacks-in-2025-amid-expanding-fraud-and-phishing-threats/) **Atores relacionados:** [[black-basta|Black Basta]] · [[s0496-revil|REvil]] · [[lockbit|LockBit]] **Campanhas:** [[qilin-nhs-synnovis-2024]] · [[qilin-conpet-romania-2026]] · [[qilin-asahi-jápan-2025]] **Malware e ferramentas:** [[qilin-ransomware]] · [[mimikatz|Mimikatz]] · [[netxloader|NETXLOADER]] · [[s0226-smokeloader|SmokeLoader]] **CVEs exploradas:** [[cve-2025-31324|CVE-2025-31324]] **TTPs principais:** [[t1566-phishing|T1566]] · [[t1486-data-encrypted-for-impact|T1486]] · [[t1490-inhibit-system-recovery|T1490]] · [[t1003-os-credential-dumping|T1003]] · [[t1021-remote-services|T1021]] **Setores alvejados:** [[healthcare|Saúde]] · [[government|Governo]] · [[energy|Energia]] · [[manufacturing|Manufatura]] · [[financial|Financeiro]]