Negli ultimi mesi Cisco ha rilevato un’ondata di attacchi ransomware riconducibili al gruppo Qilin, una minaccia sempre più sofisticata e aggressiva: secondo una recente analisi Qilin colpisce oltre 40 nuove vittime ogni mese nella seconda metà del 2025, con picchi che hanno superato le 100 organizzazioni compromesse nei mesi di giugno e agosto.
Scoperto nel 2022, si è evoluto rapidamente in una vera e propria piattaforma di ransomware-as-a-service (RaaS), fornendo strumenti e supporto a criminali informatici di tutto il mondo. Il suo modello di attacco si basa sulla cosiddetta “doppia estorsione”: non solo i dati delle vittime vengono cifrati e resi inaccessibili, ma vengono anche sottratti con la minaccia di pubblicazione, aumentando la pressione psicologica e mediatica sulle organizzazioni colpite.
Nel mirino di Qilin in particolare il settore manifatturiero, che rappresenta circa un quarto delle vittime totali. Seguono i servizi professionali e il commercio all’ingrosso. A livello geografico, gli attacchi si sono concentrati soprattutto in Nord America ed Europa, con Stati Uniti, Canada, Regno Unito, Francia e Germania tra i paesi più colpiti.
Dal punto di vista tecnico, Qilin si distingue per la varietà e la flessibilità dei suoi strumenti, che lo rendono compatibile con diverse piattaforme. Gli attacchi iniziano spesso con la compromissione di dispositivi di accesso remoto oppure sfruttando vulnerabilità note. Una volta ottenuto l’accesso, i criminali informatici si muovono lateralmente nella rete, utilizzando strumenti legittimi per diffondersi e per esfiltrare i dati.
Un dettaglio inquietante emerso dall’analisi di Cisco Talos è l’utilizzo di programmi apparentemente innocui, come Notepad o Paint, per visualizzare i file rubati prima della cifratura. Questo comportamento suggerisce una pianificazione meticolosa e una volontà di selezionare con cura le informazioni più sensibili da sfruttare nella fase di estorsione.
La fase finale dell’attacco prevede la cifratura dei dati, spesso eseguita in due momenti distinti: un primo programma si occupa di propagarsi nella rete, mentre un secondo si concentra sulla cifratura. I dati rubati vengono poi pubblicati nel dark web su siti gestiti da infrastrutture offshore molto difficili da rintracciare. In alcuni casi, le vittime vengono addirittura invitate a contattare un avvocato tramite il sito degli attaccanti, un servizio che mira a facilitare il pagamento del riscatto.
L’impatto economico di Qilin è significativo: soltanto nel 2024 si stima che il gruppo ransomware abbia incassato oltre 50 milioni di dollari in riscatti. Le varianti più recenti del ransomware sono particolarmente evolute: non esistono al momento strumenti di decrittazione pubblici, e gli attacchi sono progettati per cancellare ogni traccia, rendendo difficile anche la ricostruzione forense.