# Qilin Ransomware > [!high] RaaS Multi-Plataforma com Alvo em Hipervisores VMware ESXi > Qilin (também conhecido como Agenda) é uma operação RaaS ativa desde 2022, com variantes em Golang e Rust. A versão Qilin.B de 2024 introduziu stealer de credenciais do Chrome. Explora vulnerabilidades Fortinet ([[cve-2024-21762|CVE-2024-21762]], [[cve-2024-55591|CVE-2024-55591]]) para acesso inicial. ## Visão Geral Qilin, também chamado de Agenda em pesquisas da Trend Micro, é um grupo de Ransomware-as-a-Service ativo desde 2022. O grupo opera um modelo RaaS com afiliados recrutados em fóruns underground, oferecendo uma das interfaces de administração mais sofisticadas do ecossistema de ransomware. Inicialmente escrito em Golang, o grupo também desenvolveu uma variante em Rust - linguagem cada vez mais popular entre desenvolvedores de malware por dificultar a análise. O [[netxloader]] é o loader associado ao Qilin desde novembro de 2024, usado para distribuir tanto o SmokeLoader quanto o próprio Qilin via carregamento reflexivo de DLL. A evolução do grupo foi documentada pela Trend Micro em maio de 2025 com a análise do NetXLoader protegido por .NET Reactor 6 com JIT hooking. Em 2024, a Halcyon identificou a variante Qilin.B, que adicionou uma capacidade inédita entre ransomwares: um stealer de credenciais do Google Chrome integrado. O malware modificava as configurações do Chrome via Política de Grupo, coletava credenciais salvas e as exfiltrava antes de iniciar a criptografia - ampliando significativamente o impacto além do ransomware tradicional. O Qilin tem explorado ativamente vulnerabilidades no Fortinet, especialmente o [[cve-2024-21762|CVE-2024-21762]] (SSL VPN) e o [[cve-2024-55591|CVE-2024-55591]] (FortiOS), para acesso inicial a redes corporativas. A versão Linux do Qilin tem como alvo específico hipervisores VMware ESXi, usando scripts shell para desligar VMs antes da criptografia. ## Attack Flow ```mermaid graph TB A["🔓 Exploit Fortinet VPN<br/>CVE-2024-21762 ou CVE-2024-55591"] --> B["🔑 Acesso à Rede<br/>Credenciais VPN comprometidas"] B --> C["📥 Deploy NetXLoader<br/>.NET Reactor 6 + JIT hooking"] C --> D["💀 Qilin Ransomware<br/>Golang ou Rust variant"] D --> E["📋 Modificacao Group Policy<br/>Qilin.B: config Chrome via GPO"] E --> F["🔑 Chrome Credential Theft<br/>Coleta senhas salvas no browser"] F --> G["🖥️ Desligamento VMs ESXi<br/>Script shell - fecha VMs antes"] G --> H["🔒 Criptografia<br/>Arquivos + VMs cifradas"] H --> I["📤 Dupla Extorsao<br/>Dados publicados se resgate negado"] ``` *Loader associado: [[netxloader]] · Atores: [[qilin]]* ## Técnicas MITRE ATT&CK | ID | Técnica | Fase | Descrição | |----|---------|------|-----------| | T1190 | Exploit Public-Facing | Acesso Inicial | CVE-2024-21762 e CVE-2024-55591 Fortinet | | T1078 | Valid Accounts | Persistência | Uso de credenciais VPN comprometidas | | T1059.001 | PowerShell | Execução | Scripts PS para configuração de GPO | | T1484.001 | Group Policy Modification | Privilégios | Modificação de GPO para deploy em domínio | | T1555.003 | Credentials from Web Browsers | Credenciais | Stealer de credenciais Google Chrome (Qilin.B) | | T1486 | Data Encrypted | Impacto | Criptografia de arquivos e VMs ESXi | | T1490 | Inhibit Recovery | Impacto | Deleção de shadow copies e backups | | T1567 | Exfiltration to Web Service | Exfiltração | Dupla extorsão com públicação de dados | ## Variantes e Evolução ```mermaid graph TB subgraph Variantes Qilin GO["Qilin Golang<br/>2022 - variante original"] RUST["Qilin Rust<br/>2023 - maior resistencia a análise"] QB["Qilin.B<br/>2024 - Chrome stealer integrado"] end subgraph Loader Associado NXL["NetXLoader<br/>Nov 2024 - .NET Reactor 6<br/>JIT hooking"] SMOKE["SmokeLoader<br/>Segundo payload do NXL"] end subgraph Exploits de Acesso F21["CVE-2024-21762<br/>Fortinet SSL VPN RCE"] F55["CVE-2024-55591<br/>FortiOS Auth Bypass"] end GO --> RUST RUST --> QB NXL --> QB NXL --> SMOKE F21 --> GO F55 --> QB ``` *Técnicas: [[t1486-data-encrypted-for-impact|T1486]] · [[t1484-001-group-policy-modification|T1484.001]] · [[t1555-003-credentials-from-web-browsers|T1555.003]]* ## Relevância LATAM/Brasil > [!latam] Relevância para o Brasil > **Qilin** é uma ameaça direta ao Brasil via exploração de vulnerabilidades **Fortinet** (CVE-2024-21762, CVE-2024-55591) — appliances amplamente usados em data centers e redes corporativas brasileiras. A variante **Qilin.B** com stealer de credenciais do Chrome integrado amplifica o impacto: além do ransomware, credenciais de **internet banking corporativo** e sistemas internos são exfiltradas. O modelo RaaS com afiliados recrutados globalmente aumenta o risco de campanhas locais oportunistas contra organizações brasileiras. ## Impacto Setorial Qilin tem como alvos preferidos setores de saúde (hospitais britânicos em 2024), manufatura e infraestrutura crítica. O ataque ao NHS (National Health Service) do Reino Unido em junho de 2024, via exploração de um provedor de serviços de saúde, interrompeu operações hospitalares e resultou no cancelamento de milhares de cirurgias. ## Detecção e Defesa **Indicadores comportamentais:** - Tentativas de exploração em endpoints Fortinet VPN (CVE-2024-21762) - Modificação de GPO por conta não administrativa - Processo acessando `Login Data` do Chrome de múltiplos usuários - Scripts shell desligando VMs em hosts ESXi - Extensão `.qilin` ou `.agenda` em arquivos cifrados **Mitigações recomendadas:** - Aplicar patches urgentes nos dispositivos Fortinet afetados pelos CVEs citados - [[m1030-network-segmentation|Segmentação de rede]] isolando hipervisores ESXi - Monitorar modificações de GPO via eventos Windows 5136 - Backups offline de configurações ESXi e snapshots de VMs - [[m1049-antivirus-antimalware|EDR]] com proteção de credenciais do browser ## Referências - [1](https://www.trendmicro.com/en_us/research/24/a/a-closer-look-at-agenda-ransomware-s-golang-variant.html) Trend Micro - Agenda Ransomware Golang Variant (2024) - [2](https://www.halcyon.ai/blog/qilin-b-ransomware-variant) Halcyon - Qilin.B Ransomware Variant with Chrome Stealer (2024) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-337a) CISA - Qilin Ransomware Advisory (2024) - [4](https://www.bleepingcomputer.com/news/security/qilin-ransomware-claims-attack-on-synnovis-disrupts-london-hospitals/) BleepingComputer - Qilin Ransomware Claims Attack on NHS (2024) - [5](https://www.fortinet.com/blog/psirt-blogs/analysis-of-CVE-2024-21762) Fortinet PSIRT - CVE-2024-21762 Analysis (2024)