رینسم ویئر گروپ کیولن (Qilin) — جسے ایجنڈا (Agenda)، گولڈ فیدر (Gold Feather)، اور واٹر گالورا (Water Galura) کے ناموں سے بھی جانا جاتا ہے — 2022 سے سرگرم ہے اور 2025 میں یہ دنیا کے سب سے زیادہ خطرناک رینسم ویئر-ایز-ا-سروس (RaaS) آپریشنز میں سے ایک بن چکا ہے۔
اس گروپ کے حالیہ حملوں میں خاص بات یہ ہے کہ یہ ایک کراس پلیٹ فارم لینکس رینسم ویئر بائنری کو “برنگ یور اون وَلنریبل ڈرائیور” (BYOVD) تکنیک اور لیجیٹ آئی ٹی ٹولز کے ساتھ ملا کر سیکورٹی رکاوٹوں کو توڑنے، بیک اپ نظام کو تباہ کرنے، اور مکمل نیٹ ورک کو متاثر کرنے کے قابل ہو گئے ہیں۔
متاثر ہونے والے ادارے اور سرگرمی کی حد
•2025 کے دوران Qilin نے ہر ماہ درجنوں اداروں کو نشانہ بنایا — جون میں متاثرہ کیسز کی تعداد 100 تک پہنچ گئی۔
•اگست اور ستمبر 2025 میں تقریباً 84 متاثرین ریکارڈ کیے گئے۔
•زیادہ متاثرہ ممالک میں امریکا، کینیڈا، برطانیہ، فرانس، اور جرمنی شامل ہیں۔
•سب سے زیادہ متاثرہ شعبے: مینوفیکچرنگ (23%)، سائنسی و پروفیشنل سروسز (18%)، اور ہول سیل ٹریڈ (10%)۔
حملے کا طریقہ — مرحلہ وار وضاحت
1. ابتدائی رسائی (Initial Access)
•ہیکرز ڈارک ویب سے لیک شدہ ایڈمن کریڈینشلز خرید کر VPN انٹرفیس یا ریموٹ سسٹمز میں لاگ ان کرتے ہیں۔
•بعض حملے فِشنگ ای میلز یا جعلی CAPTCHA پیجز کے ذریعے کیے گئے جو Cloudflare R2 پر ہوسٹ ہوتے ہیں، تاکہ ابتدائی انفارمیشن اسٹییلر انسٹال کیا جا سکے۔
2. کریڈینشل چوری اور نیٹ ورک ریسرچ
•استعمال ہونے والے ٹولز: Mimikatz، WebBrowserPassView.exe، BypassCredGuard.exe، SharpDecryptPwd
•یہ ٹولز محفوظ پاس ورڈز، پچھلے لاگ اِن کریڈینشلز، اور RDP، SSH، Citrix کنفیگریشنز نکالنے کے لیے استعمال ہوتے ہیں۔
•حملہ آور mspaint.exe، notepad.exe، iexplore.exe جیسے سادہ پروگراموں اور Cyberduck جیسے ٹرانسفر ٹولز کا استعمال کرتے ہیں تاکہ مشکوک سرگرمی چھپائی جا سکے۔
3. لیٹرل موومنٹ اور مستقل رسائی (Persistence)
•چوری شدہ کریڈینشلز سے ہیکرز ڈومین کنٹرولر اور دیگر سسٹمز تک پہنچ جاتے ہیں۔
•وہ AnyDesk، ScreenConnect، Chrome Remote Desktop، Splashtop جیسے ریموٹ مانیٹرنگ ٹولز انسٹال کر کے نیٹ ورک میں پھیلتے ہیں۔
•Cobalt Strike اور SystemBC ریموٹ ایکسس اور کمانڈ اینڈ کنٹرول (C2) کے لیے استعمال ہوتے ہیں۔
•dark-kill اور HRSword جیسے ٹولز سے سیکورٹی سافٹ ویئر کو بند کر دیا جاتا ہے۔
4. BYOVD تکنیک سے دفاعی نظام کو ناکارہ بنانا
•Qilin نے “eskle.sys” جیسے کمزور ڈرائیور کو استعمال کر کے سیکورٹی سوفٹ ویئر کو غیر فعال کیا — یہ BYOVD (Bring Your Own Vulnerable Driver) تکنیک کہلاتی ہے۔
5. لینکس رینسم ویئر کو ونڈوز پر چلانا
•یہ گروپ WinSCP یا دیگر سافٹ ویئر کے ذریعے لینکس رینسم ویئر بائنری کو ونڈوز سسٹمز پر منتقل کر کے براہ راست چلاتا ہے — عموماً Splashtop SRManager.exe کے ذریعے۔
•اس سے ایک ہی پے لوڈ سے Windows اور Linux دونوں سسٹمز متاثر ہو جاتے ہیں۔
•نئی اپڈیٹ شدہ ورژنز میں Nutanix AHV کی شناخت شامل ہے، جس سے ظاہر ہوتا ہے کہ حملہ آور اب VMware کے علاوہ جدید ورچوئل پلیٹ فارمز کو بھی نشانہ بنا رہے ہیں۔
6. بیک اپ سسٹم کی تباہی اور فائنل حملہ
•حملہ آور خاص طور پر Veeam Backup Infrastructure کو نشانہ بناتے ہیں تاکہ بیک اپ کریڈینشلز چرا سکیں اور ریکوری کے امکانات ختم کر سکیں۔
•آخری مرحلے میں وہ ایونٹ لاگز اور Volume Shadow Copies (VSS) کو ڈیلیٹ کر کے فائلز کو انکرپٹ کرتے ہیں اور ہر فولڈر میں رینسم نوٹ چھوڑ جاتے ہیں۔
یہ حملہ خطرناک کیوں ہے؟
•کراس پلیٹ فارم رینسم ویئر: ایک ہی بائنری سے ونڈوز اور لینکس دونوں متاثر ہو سکتے ہیں۔
•بیک اپ کا نشانہ: بیک اپ سسٹم ختم کر کے ریکوری ناممکن بنا دیتے ہیں۔
•لیجیٹ ٹولز کا استعمال: AnyDesk، Splashtop جیسے ٹولز استعمال کر کے حملے کو نارمل ایڈمن ایکٹیویٹی کی طرح ظاہر کرتے ہیں۔
•ڈرائیور ایویژن: BYOVD سے سیکورٹی سافٹ ویئر کو نچلے درجے پر بند کر دیا جاتا ہے۔
دفاعی اقدامات
1.ریموٹ ایکسس محفوظ کریں
•VPN اور RMM اکاؤنٹس پر ملٹی فیکٹر آتھنٹیکیشن (MFA) لازمی کریں۔
•پرانے یا لیک شدہ پاس ورڈز فوراً تبدیل کریں۔
2.بیک اپ نظام مضبوط بنائیں
•بیک اپ سسٹم کو علیحدہ نیٹ ورک پر رکھیں۔
•ایئر گیپڈ یا امیوٹیبل بیک اپس استعمال کریں۔
3.ڈرائیور مانیٹرنگ
•نئے یا غیر دستخط شدہ ڈرائیورز کی نگرانی کریں۔
•صرف قابلِ اعتماد ڈرائیورز انسٹال ہونے دیں۔
4.RMM اور لیجیٹ ٹولز کی نگرانی
•AnyDesk، ScreenConnect، Splashtop کے غیر متوقع انسٹال پر الرٹ لگائیں۔
•mspaint.exe، notepad.exe جیسے پروگرامز کی غیر معمولی ایکٹیویٹی پر بھی نظر رکھیں۔
5.کریڈینشل پروٹیکشن
•پاس ورڈ اسٹورز محفوظ رکھیں، LAPS یا JIT اکسیس اپنائیں۔
•لیک شدہ کریڈینشلز کے لیے ڈارک ویب مانیٹرنگ کریں۔
6.انسڈنٹ رسپانس پلان
•باقاعدگی سے بیک اپ ریکوری ٹیسٹ کریں۔
•ٹیم کو فوری رسپانس پلان پر تربیت دیں۔
نتیجہ
Qilin رینسم ویئر نے یہ ثابت کر دیا ہے کہ جدید سائبر حملے صرف ڈیٹا انکرپٹ کرنے تک محدود نہیں رہے۔
یہ گروپ بیک اپ نظام، ایڈمن ٹولز، اور سیکورٹی سوفٹ ویئر کو پہلے ہی مفلوج کر دیتا ہے تاکہ ریکوری ممکن نہ رہے۔
اس طرح کے ہائبرڈ، کثیر پلیٹ فارم حملے اس بات کی نشاندہی کرتے ہیں کہ اداروں کو اب پریوینشن سے زیادہ ڈیفنس ان ڈیپتھ اور بیک اپ ریذیلیئنس پر توجہ دینا ہوگی۔
سورس
https://thehackernews.com/2025/10/qilin-ransomware-combines-linux-payload.html?m=1
