TechTurn : Marketing digital et informatique à Liège
Nous contacter
Créer un ticket
TechTurn : Marketing digital et informatique à Liège
Nous contacter
Créer un ticket

Qu’est ce que le rançongiciel « Qilin » ?

Qu'est-ce que Qilin?
Qilin est un rançongiciel qui encrypte vos données et vous demande une rançon en échange. Voici nos conseils

Partager cet article

Table des matières

De manière brève

  • Qilin est un rançongiciel très évolué qui tente de soutirer de l'argent en cryptant vos données
  • Ne payez jamais une rançon car vous n'êtes pas sûr de récupérer vos données
  • Qilin s'infiltre majoritairement via des emails de phishing
  • Qilin encrypte toutes vos données, même les backups Cloud
  • Privilégiez les backups Tape qui sont déconnectés du réseau
  • Sensibilisez vos employés sur les bonnes pratiques pour éviter les tentatives de phishing

Qilin, qu'est-ce que c'est ?

Qilin est un rançongiciel autrement dit, un logiciel malveillant qui crypte les données d’une entreprise et exige une rançon pour le déchiffrement. Il a émergé en Juillet 2022 sous le nom « Agenda » et fonctionne selon le modèle RaaS ou « Ransomware-as-a-Service. Concrètement, Qilin utilise un réseau d’affiliés qui utilisent le logiciel et perçoivent une partie des profits.

Qilin a rapidement gagné en notoriété en étant à l’origine de nombreuses attaques comme celle sur Synnovis – un fournisseur de services de pathologie basé à Londres – et qui aurait couté en 2024 à l’entreprise 32.7 millions de livres pour une rançon demandée de 50 millions.

Vous l’aurez compris, le principal objectif de Qilin est d’extorquer de l’argent à ses victimes en cryptant des fichiers essentiels. Le but de Qilin est de forcer les victimes à payer des sommes astronomiques pour récupérer l’accès aux fichiers cryptés. Le groupe semble viser particulièrement le secteurs des soins de santé mais également les industries scientifiques ou techniques et ce, sans distinction concernant la taille de l’entreprise.

Le mode opératoire de Qilin

L'infiltration dans les systèmes

Qilin tente de s’infiltrer via plusieurs façons mais la plus commune est via les emails de phishing qui contiennent généralement des pièces jointes infectées ou des liens malveillants. Quand le mail est ouvert et que la pièce jointe ou le lien est ouvert, le rançongiciel est téléchargé automatiquement, s’exécute et commence à crypter les données.

Une autre méthode favorite du groupe est de tenter de se connecter via les connexions à distance – particulièrement avec les appareils Fortinet.

Une fois que Qilin a pénétré le réseau, le rançongiciel utilise des techniques très avancées pour éviter de se faire détecter. Le code est compressé & déguisé pour éviter les analyses statiques, les fonctions sont renommées, les lignes de codes sont cryptées ce qui le rend difficilement détectable.

L'exécution du rançongiciel

Maintenant que Qilin s’est déployé, la prochaine étape est de gagner des privilège administrateur sur la machine infectée. Cela peut être fait en utilisant des vulnérabilités ou via des outils légitimes comme « PowerShell ». Avec des accès administrateur, Qilin peut scanner le réseau pour découvrir d’autres cibles et ce qui lui permet de se déployer sur l’ensemble du réseau pour y faire encore plus de dégats.

L'encryptage des données

Qilin utilise des mécanismes complexes d’encryptage notamment grâce à une génération aléatoire de clé de chiffrement que seul l’attaquant possède et qui est nécessaire pour déchiffrer les données encryptées. Qilin peut encrypter plusieurs types de fichiers afin de maximiser les dégâts ce qui inclus des documents, des bases de donénes, des backups tout en évitant les fichiers critiques du système afin de pouvoir afficher les messages indiquant que vous vous êtes fait pirater et les façons de leur verser la rançon.

L'affichage du message et l'extorsion

Une fois toutes les données encryptées, Qilin affiche un message indiquant que vous système est infecté.

Ce message comprend généralement le montant de la rançon (payable en cryptomonnaies) ainsi que des instructions pour le paiement (via le dark web) et quelques menaces sur une fuite de données ou la perte permanente de vos données pour vous motiver à payer.

Qu'est-ce que Qilin?
Exemple de message affiché suite à une attaque Qilin

Le nettoyage et la dissimulation

Pour couvrir ses traces, Qilin efface les logs et autres éléments qui pourraient aider à découvrir comment l’attaque s’est passée. Cela inclus les journaux d’évènements, la suppression des fichiers temporaires créés pendant l’attaque et dans certains cas, Qilin peut intégrer des fonctions pour s’auto supprimer une fois que les objectifs sont accomplis afin d’encore plus compliquer les analyses post-accident.

Protection et atténuation des pertes

Les cyber-attaques sont de plus en plus évoluées et les entreprises doivent adopter une approche multidimensionnelle surtout face à des rançongiciels évolués comme Qilin. L’utilisation d’outils de sécurité avancés et la mise en œuvre de stratégies proactives sont impératives pour renforcer les défenses numériques.

La formation des employés : Nous l’avons vu, l’une des portes d’entrées privilégiées de Qilin se fait via les emails de phishing, nous ne le diront jamais assez mais formez vos collaborateurs aux bonnes pratiques afin d’éviter laisser rentrer des logiciels malveillants dans votre infrastructure. N’hésitez pas à consulter notre offre TechTurn Cyber Sense.

Des solutions anti logiciels malveillants robustes : Pour combattre des rançongiciels évolués comme Qilin, il est impératif d’utiliser des solutions anti logiciels malveillants avancés. Ces solutions couplées avec des EDR (détection et réponse sur les appareils) permet d’améliorer les capacités de défense d’une entreprise et permet une protection ainsi qu’une détection en temps réel d’une attaque. En effet, un simple anti-virus permet de détecter un certain nombre de menaces mais ne détectera pas tout.

Les audits de sécurité récurrents et la gestion des vulnérabilités : Réaliser des audits de sécurité de routine ainsi que l’identification des menaces sont des éléments cruciaux pour réduire les possibilités d’infection. Cela comprend une évaluation des configurations, des systèmes, des vulnérabilités connues, etc. 

L’authentification à 2 facteurs et les contrôles d’accès : Renforcer l’authentification en mettant en place des politiques d’authentification à deux facteurs permet d’améliorer la sécurité. Une autre façon de faire est de permettre aux utilisateurs finaux de n’avoir accès que à ce dont ils ont besoin et rien de plus. C’est deux éléments permettent de compliquer la tâche aux personnes malveillantes.

Les sauvegardes régulières et le plan de récupération des données : Avoir des sauvegardes régulières et un plan de récupération des données vous permet de réduire l’impact des rançongiciels comme Qilin. En effet, plus l’intervalle des sauvegardes et court, moins vous perdrez de données en cas d’attaque réussie. Nous conseillons également la règles du 3-2-1-1-0 : 3 copies au minimum, sur 2 supports différents, avec au moins 1 copie hors site, 1 copie hors ligne et 0 erreur dans les sauvegardes. Les sauvegardes hors ligne sont les sauvegardes que nous appelons « Tape ». Il s’agit de bandes sur lesquelles les données sont sauvegardées et celles-ci sont en permanence déconnectées du réseau.

En intégrant ces recommandations, les entreprises peuvent améliorer de façon significative leur résilience façe aux rançongiciels et protéger leurs données efficacement.

S'inscrire à notre Newsletter

Recevez des notifications et restez informés !

Lire plus d'articles
Informatique

Fin du support de Windows 10 en approche

Le 14 octobre 2025 marquera la fin du support du système d’exploitation Windows 10. Cela signifie que Microsoft ne mettra plus à jour les logiciels, ne fournira plus d’assistance technique et ni de correctif de sécurité. Il est donc crucial pour les entreprises de faire le nécessaire pour passer à Windows 11.

TechTurn 25/02/2025

Voulez-vous faire évoluer votre entreprise?

Choisissez une entreprise qui obtiendra des résultats et qui vous parlera avec des mots compréhensibles au lieu de vous noyer sous le vocabulaire compliqué !
TechTurn : Marketing digital et informatique à Liège
TechTurn : Marketing digital et informatique à Liège

Conditions générales.

Copyright 2023 © TechTurn SRL tous droits réservés.

Politique de cookies.