Cresce il ransomware a livello globale, che cos'è e come funziona Qilin
Scoperto un nuovo gruppo ransomware chiamato Qilin che sta attaccando molte delle più grandi aziende in tutto il mondo, per un giro d’affari da milioni di euro
In Sintesi
- Qilin è emerso come una delle minacce ransomware più aggressive, operando con un modello di Ransomware-as-a-Service (RaaS) fin dal 2022.
- L’impatto è globale e significativo e solo nella seconda metà del 2025, il collettivo avrebbe colpito oltre 40 organizzazioni al mese, con picchi oltre le 100 vittime.
Negli ultimi mesi gli esperti di sicurezza informatica hanno individuato un gruppo ransomware che è emerso costantemente nei report delle società di cybersecurity, si tratta di Qilin, una delle minacce più aggressive degli ultimi anni.
Secondo il report condiviso da Cisco Talos, solo nella seconda metà del 2025 il collettivo avrebbe colpito oltre quaranta organizzazioni ogni mese, con picchi a giugno e ad agosto, quando gli attacchi hanno superato quota cento vittime.
Si tratta, inoltre, di una minaccia diffusa a livello globale, con i bersagli principali che rimangono le aziende del settore manifatturiero, le imprese attive nei servizi professionali e scientifici e le realtà del commercio all’ingrosso.
Come funziona Qilin e cosa può fare
Qilin non è un nome nuovo del settore della cybersecurity e, dal 2022 a oggi, il gruppo criminale ha costruito un vero e proprio modello di business fondato sul ransomware-as-a-service (RaaS), fornendo strumenti, infrastrutture e supporto operativo per condurre attacchi su larga scala.
Il metodo di attacco è consolidato con gli aggressori sottraggono i dati sensibili della vittima, procedono alla cifratura dei sistemi e infine minacciano la pubblicazione delle informazioni rubate qualora il riscatto non venga pagato. Una strategia a doppia pressione, operativa e reputazionale, che può paralizzare un’azienda nel giro di poche ore, spingendola verso il negoziato.
L’attacco, secondo Cisco Talos, segue uno schema ricorrente che ruota attorno a due vulnerabilità: credenziali aziendali già compromesse e reperibili sul dark web e sistemi di accesso remoto privi di autenticazione multifattoriale.
Una volta ottenuto l’accesso iniziale, gli hacker si muovono tramite RDP e strumenti legittimi della suite di amministrazione Windows, confondendosi con il normale traffico di rete. Una volta dentro gli aggressori mappano la struttura della rete, individuano gli account con privilegi elevati e localizzano i server che custodiscono informazioni strategiche e iniziano ad analizzare tali documenti prima della cifratura.
Per la fase di esfiltrazione, Qilin usa metodi difficili da intercettare: archivi compressi generati con WinRAR e trasferimenti tramite strumenti come Cyberduck, che sfruttano servizi cloud perfettamente legittimi.
Fatto questo, scatta l’ultima fase dell’attacco con gli attaccanti che cariano le informazioni sottratte sul portale del gruppo nel dark web, dove compaiono elenchi completi delle organizzazioni compromesse, accompagnati da un’anteprima dei file rubati.
In alcuni casi, alle vittime viene fornito un indirizzo per avviare una trattativa diretta con i criminali. Talos osserva addirittura episodi in cui Qilin suggerisce alla vittima di rivolgersi a un avvocato “di fiducia” indicato dagli stessi criminali per gestire il negoziato.
Ransomware, un business criminale in crescita
Qilin si conferma uno dei gruppi più attivi nel panorama ransomware che, solo 2024, avrebbe incassato oltre 50 milioni di dollari in riscatti pagati dalle vittime. Inoltre, al momento, non sono disponibili strumenti pubblici in grado di decifrare i file prodotti dalle varianti più recenti, un dettaglio che contribuisce ulteriormente alla pressione psicologica e finanziaria sulle organizzazioni colpite.
La crescita di Qilin rappresenta quindi un segnale chiaro dell’evoluzione del cybercrimine dove gruppi hacker sono ormai strutturati come vere aziende, con modelli di business scalabili e tattiche di estorsione sempre più raffinate.
Di fronte a minacce di questa portata, le difese tradizionali non bastano più. E la capacità delle aziende di prevenire, rilevare e rispondere rapidamente a intrusioni sempre più sofisticate è destinata a diventare un fattore critico di sopravvivenza digitale.
