Cos'è il Qilin ransomware?

Qilin è un ransomware-as-a-service dal 2022, che usa doppia estorsione cifrando e rubando dati, con oltre 40 vittime mensili nel 2025.

Come opera tecnicamente Qilin?

Inizia con accessi remoti compromessi, usa tool legittimi come Notepad per selezionare dati, cifra in due fasi e pubblica su dark web.

Qual è l'impatto economico di Qilin?

Oltre 50 milioni di dollari in riscatti nel 2024, con varianti evolute senza decrittatori pubblici.

Come difendersi da Qilin?

Aggiorna software, adotta MFA, segmenta la rete, monitora anomalie, forma il personale e usa backup offline.

Focus

Qilin Ransomware: l'Allarme che Sta Paralizzando l'Industria Mondiale!

Q: Quali settori attacca di più Qilin?

Il manifatturiero (25% delle vittime), servizi professionali e commercio all'ingrosso, concentrandosi su Nord America ed Europa.

Scritto da Monica

dicembre 1, 2025

Qilin ransomware sta sconvolgendo il panorama della cybersicurezza globale con un'ondata di attacchi sempre più sofisticati, colpendo oltre 40 nuove vittime ogni mese nella seconda metà del 2025, secondo l'ultima analisi Cisco Talos. Questa minaccia, scoperta nel 2022 ed evoluta in una potente piattaforma ransomware-as-a-service (RaaS), ha registrato picchi superiori alle 100 organizzazioni compromesse in mesi come giugno e agosto, fornendo strumenti avanzati a criminali di tutto il mondo. Il suo modello di doppia estorsione cifra i dati rendendoli inaccessibili e li sottrae per minacciarne la pubblicazione, amplificando la pressione psicologica sulle vittime.

Il settore manifatturiero risulta il più esposto, rappresentando circa un quarto delle incursioni totali, seguito da servizi professionali e commercio all'ingrosso, con un'intensa concentrazione geografica in Nord America ed Europa, inclusi Stati Uniti, Canada, Regno Unito, Francia e Germania. Tecnicamente, Qilin brilla per la flessibilità dei suoi strumenti compatibili con varie piattaforme, iniziando spesso da compromissioni di accessi remoti o vulnerabilità note per poi espandersi lateralmente nella rete con tool legittimi. Un aspetto particolarmente sinistro evidenziato da Cisco Talos è l'uso di programmi innocui come Notepad o Paint per esaminare i file rubati prima della cifratura, rivelando una pianificazione attenta nella selezione dei dati sensibili da estorcere.

La conclusione degli attacchi prevede una cifratura in due fasi distinte, con un primo componente che si propaga nella rete e un secondo dedicato all'encrypt, mentre i dati esfiltrati finiscono su siti dark web offshore quasi impossibili da tracciare. In certi casi, le vittime ricevono persino inviti a contattare un avvocato tramite i portali degli attaccanti per negoziare il riscatto. L'impatto economico è colossale, con oltre 50 milioni di dollari incassati solo nel 2024, e le varianti recenti prive di decrittatori pubblici che cancellano ogni traccia, complicando le indagini forensi.

Per contrastare questa minaccia pervasiva, Cisco Talos insiste su misure immediate come l'aggiornamento di software vulnerabili, soprattutto per accessi remoti e backup, integrando autenticazione multifattore, segmentazione di rete, monitoraggio di anomalie e formazione del personale. I backup offline dei dati critici diventano imprescindibili per mitigare i rischi. Qilin si afferma come una delle minacce ransomware più adattabili, capace di bersagliare settori vitali attraverso reti criminali globali, esigendo una reazione coordinata da imprese, istituzioni e governi.