# Water Galura > [!danger] Qilin RaaS - Grupo de Ransomware em Explosão de 2025 > Water Galura (também rastreado como GOLD FEATHER) são os operadores do **Qilin RaaS** - uma das operações de ransomware-as-a-service de maior crescimento no mundo. Ativo desde julho de 2022 (inicialmente como "Agenda"), o grupo registrou **701 vítimas em 2025** após o colapso do RansomHub, tornando-se o operador de ransomware mais prolífico do ano. Em 2024, o grupo extorquiu o **sistema de saúde britânico em $50 milhões** após comprometer o prestador de serviços laboratoriais Synnovis, cancelando 6.000 procedimentos hospitalares em Londres. ## Visão Geral O **Water Galura** (G1050) opera o serviço **Qilin RaaS** (Ransomware-as-a-Service), tendo iniciado como "Agenda" em julho de 2022 e renomeado para Qilin dois meses depois. O grupo é de origem russa, e como é típico dos grupos do ecossistema de ransomware russo, exclui explicitamente países da CIS (Comunidade de Estados Independentes) de seus alvos. O modelo de negócio é o padrão RaaS: Water Galura desenvolve e mantém a infraestrutura de ransomware, o painel de gestão para afiliados, o data leak site (DLS) no Tor, e coordena negociações. **Afiliados** recrutados em fóruns de cibercrime recebem 80-85% dos pagamentos de resgate; Water Galura fica com 15-20%. O Qilin possui variantes em **Golang e Rust** — a escolha de Rust para a variante mais recente permite intermittent encryption (criptografia seletiva de partes de arquivos), acelerando significativamente o processo e dificultando detecção comportamental. Em 2025, o grupo adicionou uma capacidade técnica distintiva: **deploy de variante Linux diretamente em sistemas Windows via drivers vulneráveis (BYOVD)**, contornando proteções de kernel. O crescimento explosivo do grupo em 2025 foi impulsionado pelo **colapso do RansomHub** em abril de 2025 — um salto de 280% em reivindicações de ataques após os afiliados do RansomHub migrarem em massa para o Qilin. Casos notáveis: - **Synnovis UK (2024)**: $50 milhões exigidos de prestador de serviços laboratoriais para o NHS britânico. Empresa recusou. Custo total: £33 milhões. 900.000 pessoas afetadas. 6.000 cirurgias canceladas. - **Malaysia Airports Holdings (2025)**: $10 milhões exigidos - **Shamir Medical Center Israel (2025)**: $700.000 exigidos por 8 TB de dados ## Attack Flow - Ransomware Dupla Extorsão ```mermaid graph TB A["Acesso Inicial<br/>T1566.001 Phishing<br/>T1078 Credenciais VPN/RDP"] --> B["Reconhecimento Interno<br/>Lateral movement<br/>Cobalt Strike beacon"] B --> C["Exfiltração de Dados<br/>T1657 Financial theft<br/>Veeam backup comprometido"] C --> D["Deploy Qilin Ransomware<br/>T1486 Criptografia<br/>Golang ou Rust variant"] D --> E["Inibir Recovery<br/>T1490 Shadow copies<br/>Backups destruídos"] E --> F["Dupla Extorsão<br/>Criptografia + ameaça<br/>de publicação no DLS"] F --> G["Negociação via Tor<br/>Pagamento em cripto<br/>15-20% para grupo"] style A fill:#c0392b,color:#fff style B fill:#e67e22,color:#fff style C fill:#8e44ad,color:#fff style D fill:#1a5276,color:#fff style E fill:#2980b9,color:#fff style F fill:#d35400,color:#fff style G fill:#196f3d,color:#fff ``` ## Qilin Ransomware - Aspectos Técnicos | Componente | Detalhe | |-----------|---------| | Linguagens | Golang (v1) e Rust (v2) — Rust usa intermittent encryption para velocidade | | Algoritmos | ChaCha20, AES-256, RSA4096 | | BYOVD (2025) | Variante Linux deployada em Windows via driver vulnerável — bypassa proteções kernel | | Anti-backup | Ataque específico a Veeam — extrai credenciais de múltiplos DBs de backup | | RMM persistence | AnyDesk 9.0.5 + ScreenConnect como backdoor de acesso persistente | | Staging C2 | Fake CAPTCHA via Cloudflare R2 para initial foothold | | Exclusão CIS | Configuração explícita para não criptografar em países da CIS | ## Crescimento 2022-2025 ```mermaid timeline title Water Galura / Qilin - Cronologia 2022-07 : Lançamento como Agenda : Rebrand para Qilin em Set 2022 2023 : 45 ataques reivindicados : Recrutamento de afiliados em fóruns : Demandas de $50K a $800K típicas 2024 : 179 vítimas : Synnovis UK - $50M - maior demanda : 6.000 procedimentos hospitalares cancelados 2025-04 : RansomHub colapsa : Afiliados migram para Qilin em massa : +280% em reivindicações de ataques 2025 : 701 vítimas - mais prolífico do ano : BYOVD Linux-in-Windows adicionado : Malaysia Airports $10M Shamir $700K ``` ## Setores por Volume de Ataques (2025) ```mermaid pie title Vítimas Qilin por Setor - 2025 "Negócios e Manufatura" : 590 "Governo" : 40 "Saúde" : 45 "Educação" : 26 ``` ## Técnicas MITRE ATT&CK | Técnica | ID | Uso | |---------|----|-----| | Spearphishing Attachment | [[t1566-001-spearphishing-attachment\|T1566.001]] | Phishing para acesso inicial em algumas campanhas | | Valid Accounts | [[t1078-valid-accounts\|T1078]] | Uso de credenciais VPN/RDP comprometidas via infostealers | | Exploit Public-Facing Application | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de Citrix, RDP expostos | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | Criptografia Qilin com ChaCha20/AES-256 | | Inhibit System Recovery | [[t1490-inhibit-system-recovery\|T1490]] | Destruição de shadow copies e backups Veeam | | Financial Theft | [[t1657-financial-theft\|T1657]] | Exfiltração de dados antes de criptografia | | Disable or Modify Tools | [[t1562-001-impair-defenses-disable-or-modify-tools\|T1562.001]] | Desativação de AV e EDR antes do deploy | | Remote Desktop Software | [[t1219-002-remote-desktop-software\|T1219.002]] | AnyDesk e ScreenConnect como backdoors | ## Relevância para o Brasil e LATAM > [!latam] Qilin como Ameaça Crescente para Saúde e Manufatura Brasileira > Com 701 vítimas em 2025 e modelo RaaS agressivo, o Qilin representa risco elevado para empresas brasileiras. O setor de saúde — com hospitais do SUS, redes privadas (Rede D'Or, Hapvida) e operadoras de planos de saúde — é alvo prioritário do grupo globalmente. Fatores de risco para o Brasil: - **Saúde brasileira**: Hospitais universitários federais (EBSERH), redes privadas com parque tecnológico heterogêneo e sistemas de backup baseados em Veeam são alvos de perfil idêntico aos comprometimentos documentados - **Manufatura**: Setor manufatureiro brasileiro (automotivo, alimentos, petroquímico) é o maior segmento de vítimas do Qilin — empresas como Embraer, Ambev, Vale têm perfil de alvo - **Escalabilidade via afiliados**: O modelo RaaS permite que afiliados brasileiros ou de língua portuguesa contratem a infraestrutura Qilin para ataques locais — sem dependência de operadores russos - **Credenciais comprometidas**: Infostealers que alimentam o Qilin (via credenciais de VPN/RDP) circulam amplamente em marketplaces de acesso que incluem alvos brasileiros - **$50M Synnovis como referência**: O benchmark de demanda aumenta conforme o grupo cresce — empresas brasileiras de porte médio-grande podem receber demandas de $1M a $10M ## Detecção e Defesa | Indicador | Técnica de Detecção | |-----------|---------------------| | AnyDesk ou ScreenConnect instalado em servidor por processo não autorizado | EDR: alertas para instalação de RMM em servidores por processo que não seja TI | | Shadow copies sendo deletadas via vssadmin ou wmic | SIEM: alertas para execução de vssadmin delete shadows | | Qilin: extensão de arquivo modificada em massa em curto período | EDR: alertas para processos modificando extensão de milhares de arquivos | | Credenciais Veeam sendo acessadas por processo desconhecido | EDR: monitorar acesso a databases de backup por processos não autorizados | | Fake CAPTCHA via Cloudflare R2 no browser do usuário | Proxy: bloqueio de páginas CAPTCHA servidas via R2 de domínios não reconhecidos | **Mitigações prioritárias:** 1. Proteger backups com regra 3-2-1 e backup offline imutável fora do alcance da rede 2. Desabilitar RDP exposto diretamente à internet — usar VPN com MFA 3. Monitorar e restringir instalação de softwares RMM por usuários não-TI 4. Implementar Credential Guard para proteger credenciais de domínio 5. Exercícios de simulação de incidente de ransomware — testar capacidade de recovery ## Referências - [1](https://www.hhs.gov/sites/default/files/qilin-threat-profile-tlpclear.pdf) HHS HC3 - Qilin Threat Profile TLP:CLEAR (2024) - [2](https://attack.mitre.org/groups/G1050/) MITRE ATT&CK - Water Galura G1050 - [3](https://www.checkpoint.com/cyber-hub/threat-prevention/ransomware/qilin-ransomware/) Check Point - Qilin Ransomware Deep Dive (2025) - [4](https://industrialcyber.co/ransomware/qilin-ransomware-escalates-rapidly-in-2025-targeting-critical-sectors-with-700-attacks-amid-ransomhub-shutdown/) Industrial Cyber - Qilin Escalates in 2025: 700+ Attacks (2025) - [5](https://sosransomware.com/en/ransomware-groups/qilin-ransomware-when-the-linux-variant-invades-windows-to-bypass-all-defenses/) SOS Ransomware - Qilin Linux Variant Invades Windows (2025) - [6](https://www.guidepointsecurity.com/wp-content/uploads/2021/07/2024_Q1_GRIT_Ransomware_Report_Quarterly.pdf) GuidePoint GRIT - Q1 2024 Ransomware Report **Malware:** [[qilin|Qilin Ransomware]] · [[cobalt-strike|Cobalt Strike]] **Setores alvejados:** [[healthcare|Saúde]] · [[manufacturing|Manufatura]] · [[financial|Financeiro]] · [[government|Governo]]