O grupo por trás do Qilin Ransomware, também conhecido como Agenda, desenvolveu uma nova estratégia de ataque que permite atingir ambientes híbridos de Windows e Linux ao mesmo tempo. A técnica combina exploração de drivers vulneráveis (BYOVD) e uso de payloads Linux adaptados para operar em sistemas Windows, ampliando o alcance e a capacidade de evasão do grupo. Relatórios recentes mostram que o Qilin tem se tornado um dos grupos de ransomware mais ativos de 2025, com dezenas de vítimas confirmadas a cada mês em setores de manufatura, tecnologia e serviços financeiros.
As campanhas seguem o modelo de dupla extorsão, em que os invasores criptografam os arquivos e ameaçam divulgar dados sensíveis se o pagamento não for realizado. O diferencial das novas táticas está na combinação de componentes multiplataforma. Durante a fase de ataque, os operadores implantam um binário Linux em sistemas Windows — um arquivo ELF que passa despercebido por muitos antivírus e ferramentas EDR, projetados para detectar apenas executáveis nativos (.exe ou .dll). Essa técnica ajuda o grupo a escapar da detecção e manter persistência na rede. Em paralelo, o Qilin utiliza a abordagem conhecida como Bring Your Own Vulnerable Driver (BYOVD). Nela, os invasores instalam manualmente um driver legítimo, porém com falhas conhecidas, explorando-o para obter acesso ao kernel do sistema. A partir desse ponto, conseguem desativar soluções de segurança, interromper processos de proteção e executar suas cargas maliciosas com privilégios elevados.
A cadeia de ataque observada em incidentes recentes inclui acesso inicial por meio de credenciais comprometidas, reconhecimento de rede, movimentação lateral e implantação de payloads tanto em servidores Windows quanto em instâncias Linux ou ambientes de virtualização, como VMware ESXi. Essa abordagem torna o Qilin uma ameaça especialmente perigosa para infraestruturas mistas. Além das funções tradicionais de criptografia e roubo de dados, os operadores mantêm um portal de vazamento próprio, onde publicam amostras das informações exfiltradas de vítimas que se recusam a negociar. O grupo também oferece suporte técnico a outros criminosos, indicando um modelo de negócio semelhante ao Ransomware as a Service (RaaS).
