Qilin, il ransomware che paralizza l'industria globale: attacchi a 40 vittime al mese

Il modello operativo si basa su una strategia collaudata: non basta più cifrare i dati per renderli inaccessibili. Gli attaccanti Qilin ransomware li sottraggono preventivamente e minacciano di pubblicarli nel dark web se il riscatto non viene pagato, amplificando così la pressione psicologica sulle vittime e aumentando significativamente le probabilità di pagamento. Questa tattica rappresenta il ransomware as a service nella sua forma più evoluta e predatoria.

Gli attacchi informatici non sono indiscriminati: il settore manifatturiero rappresenta circa un quarto delle vittime totali, seguito dai servizi professionali e dal commercio all’ingrosso. Geograficamente, Nord America ed Europa risultano le zone più colpite, con Stati Uniti, Canada, Regno Unito, Francia e Germania in prima linea. La concentrazione non è casuale: i paesi sviluppati possiedono infrastrutture critiche e maggiore capacità di pagamento dei riscatti informatici.

La sofisticazione tecnica degli attacchi informatici emerge dalla varietà degli strumenti impiegati. Il ransomware è compatibile con diverse piattaforme, gli accessi iniziali vengono guadagnati sfruttando vulnerabilità software note in software diffusi o compromettendo dispositivi di accesso remoto come VPN e server RDP. Una volta dentro la rete, i criminali utilizzano uno strumento tanto semplice quanto efficace: “vivere dalla terra”, ovvero ricorrere a software autorizzati come amministratori di sistema per muoversi lateralmente senza attirare l’attenzione dei sistemi di rilevamento.

Ancora più inquietante è l’utilizzo di programmi apparentemente innocui come Notepad o Paint per visualizzare i file rubati prima della crittazione dati. Questo dettaglio rivela una pianificazione meticolosa e una selezione accurata delle informazioni più sensibili da sfruttare nella fase estorsiva. Gli operatori del Qilin ransomware dimostrano un livello di professionalità che contraddistingue i gruppi più esperti della scena criminale internazionale.

La fase finale vede la crittazione dati in due momenti distinti per aumentare l’efficacia, seguita dalla pubblicazione nel dark web su siti gestiti da infrastrutture offshore difficili da rintracciare. In alcuni casi, le vittime vengono addirittura invitate a contattare un avvocato tramite il sito degli attaccanti, trasformando la criminalità informatica in un processo quasi burocratico. Questo approccio professionale caratterizza il ransomware as a service moderno.

L’impatto economico è devastante: nel solo 2024 il gruppo Qilin ransomware ha incassato oltre 50 milioni di dollari in riscatti informatici, cifra che probabilmente sottostima la realtà poiché molti pagamenti rimangono segreti. Le varianti più recenti del ransomware non presentano strumenti di decrittazione pubblici e sono progettate per cancellare ogni traccia forense, rendendo la risposta ancora più complessa.

Per fronteggiare questa minaccia critica di cybersicurezza, Cisco Talos raccomanda misure urgenti: aggiornamento immediato di tutti i software con vulnerabilità software note, implementazione dell’autenticazione a più fattori, segmentazione rete e monitoraggio comportamentale avanzato. Fondamentale anche la formazione del personale, poiché molti attacchi informatici iniziano con tecniche di social engineering, e il ripristino del backup offline come priorità assoluta per evitare di cedere ai ricatti.

Qilin ransomware rappresenta oggi una delle minacce ransomware più evolute e pervasive del panorama globale, richiedendo una risposta coordinata e decisa da parte di aziende, istituzioni e governi per contenere l’espansione del ransomware as a service e proteggere le infrastrutture critiche dalla cybersicurezza.