Qilin-ransomware is geïdentificeerd als de groep achter de recente cyberaanval op Asahi Breweries, de grootste bierproducent van Japan. Experts noemen het de meest agressieve campagne van de bende tot nu toe.
De aanval verstoorde de bedrijfsvoering van Asahi, waardoor er tekorten ontstonden aan populaire bieren, frisdranken en thee in heel Japan. Volgens nieuwe rapporten van cybersecuritybedrijven Resecurity en ReliaQuest is het Qilin-kartel in korte tijd uitgegroeid tot de meest actieve ransomwaregroep ter wereld, waarbij het zijn rivalen voorbijstreeft in zowel schaal als frequentie van aanvallen.
Qilin is bovendien een samenwerking aangegaan met twee andere beruchte groepen, LockBit en DragonForce, waardoor de activiteiten nog verder zijn toegenomen. Uit data blijkt dat de groep in zes maanden meer slachtoffers heeft gemaakt dan de drie grootste concurrerende ransomwaregroepen samen.
Alleen al in oktober claimde Qilin aanvallen op Volkswagen Group France, Texaanse nutsbedrijven zoals San Bernard en Karnes Electric Cooperatives, en zelfs de Spaanse Belastingdienst. Ook Amerikaanse gemeenten, waaronder Riviera Beach in Florida en Cobb County in Georgia, werden getroffen.
Uit onderzoek van Resecurity blijkt dat het succes van Qilin wordt ondersteund door een wereldwijd netwerk van zogenoemde bulletproof hosting (BPH)-providers. Dit zijn bedrijven die cybercriminelen bewust voorzien van robuuste servers die bestand zijn tegen pogingen tot uitschakeling. Veel van deze diensten zijn gelinkt aan Rusland, Hongkong en Kirgizië en maken gebruik van brievenbusfirma’s om hun activiteiten te verhullen.
“Deze diensten vormen de ruggengraat van Qilin’s operaties, waardoor ze domeinen kunnen wisselen, gestolen data kunnen hosten en wetshandhaving kunnen ontwijken,” aldus Resecurity.
Een van deze providers, Bearhost Servers (ook bekend als Underground en Voodoo Servers), adverteerde jarenlang zijn diensten aan cybercriminelen via Telegram (een groeiende manier om hackers of hacking-medewerkers te werven, zelfs hier in Nederland). Hoewel de beheerders onlangs beweerden te zijn gestopt, vermoeden onderzoekers dat ze onder andere namen doorgaan.
Qilin verscheen voor het eerst in 2022 onder de naam Agenda en werd later hernoemd. Tegenwoordig opereert het als een ransomware-as-a-service (RaaS)-model, waarbij het zijn malware verhuurt aan affiliates in ruil voor een deel van de winst. Affiliates behouden zo’n 80 tot 85 procent van de losgeldbetalingen, terwijl de kernoperators van Qilin de rest innen.
De groep maakt gebruik van dubbele afpersing: betaling wordt niet alleen geëist om versleutelde systemen te ontgrendelen, maar ook om te voorkomen dat gestolen data openbaar wordt gemaakt.
Asahi werd eind september getroffen door de aanval, waardoor het bedrijf sommige bestellingen, leveringen en klantenondersteuning volledig moest stilleggen.
