# Qilin > Tipo: **malware** · S1242 · [MITRE ATT&CK](https://attack.mitre.org/software/S1242) ## Descrição O ransomware [[qilin|Qilin]] (também conhecido como Agenda) é uma plataforma de Ransomware-as-a-Service (RaaS) ativo desde pelo menos 2022, com versões escritas em Golang e Rust capazes de atacar dispositivos Windows ou VMware ESXi. O [[qilin|Qilin]] apresenta sobreposições funcionais com os ransomwares [[black-basta|Black Basta]], [[s0496-revil|REvil]] e [[blackcat|BlackCat]], e seus afiliados RaaS foram observados atacando múltiplos setores em todo o mundo, incluindo saúde e educação na Ásia, Europa e África. A variante ESXi é especialmente preocupante pois permite que os operadores encerrem máquinas virtuais em massa antes da cifragem, maximizando o impacto sem precisar comprometer cada VM individualmente. O Qilin utiliza [[t1562-009-safe-mode-boot|boot em modo seguro]] para contornar ferramentas de segurança, [[t1547-004-winlogon-helper-dll|Winlogon Helper DLL]] para persistência, e [[t1548-002-bypass-user-account-control|bypass de UAC]] para elevação de privilégios. O uso de [[t1480-002-mutual-exclusion|mutexes]] evita execuções duplicadas no mesmo host. Em 2024, pesquisadores identificaram uma nova versão do Qilin capaz de roubar credenciais armazenadas no Google Chrome antes de realizar a cifragem, elevando ainda mais o nível de impacto para as vítimas. O grupo opera um site de vazamento de dados na dark web para pressionar organizações que se recusam a pagar o resgaté, seguindo o modelo de dupla extorsão que se tornou padrão entre grupos RaaS avançados. **Plataformas:** ESXi, Windows ## Técnicas Utilizadas - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1134-access-token-manipulation|T1134 - Access Token Manipulation]] - [[t1480-002-mutual-exclusion|T1480.002 - Mutual Exclusion]] - [[t1547-004-winlogon-helper-dll|T1547.004 - Winlogon Helper DLL]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1087-001-local-account|T1087.001 - Local Account]] - [[t1489-service-stop|T1489 - Service Stop]] - [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] - [[t1106-native-api|T1106 - Native API]] - [[t1673-virtual-machine-discovery|T1673 - Virtual Machine Discovery]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1562-009-safe-mode-boot|T1562.009 - Safe Mode Boot]] - [[t1057-process-discovery|T1057 - Process Discovery]] ## Grupos que Usam - [[g1036-moonstone-sleet|Moonstone Sleet]] - [[g1050-water-galura|Water Galura]] ## Detecção Detecção do Qilin deve incluir monitoramento de reinicializações em modo seguro ([[t1562-009-safe-mode-boot|T1562.009]]), paradas em massa de serviços e processos de backup, e acesso suspeito a arquivos de banco de dados de credenciais do Chrome. Em ambientes ESXi, alertas para comandos `esxcli` e `vim-cmd` executados a partir de hosts não autorizados são críticos. A análise de tráfego C2 usando padrões de comunicação HTTP deve complementar a detecção em endpoints. ## Relevância LATAM/Brasil O Qilin/Agenda foi identificado em ataques contra organizações nos setores de saúde e manufatura na América Latina. A capacidade de atacar infraestrutura de virtualização ESXi é particularmente relevante para o Brasil, onde grandes data centers corporativos e provedores de nuvem privada dependem amplamente de VMware. Grupos afiliados ao Qilin têm expandido sua atuação global e a região LATAM representa um alvo crescente dada a adoção crescente de virtualização e a maturidade ainda em desenvolvimento dos programas de segurança defensiva. ## Referências - [MITRE ATT&CK - S1242](https://attack.mitre.org/software/S1242)