C’è un nuovo pericolo e risponde al nome di Qilin. Si tratta di un nuovo e aggressivo ransomware che sta mettendo in forte allarme l’intera rete industriale. Un nuovo “nemico” da studiare con attenzione.
Almeno 40 “vittime” ogni mese
Secondo i dati raccolti da Cisco Talos, Qilin colpisce oltre 40 nuove vittime ogni mese nella seconda metà del 2025, con picchi che hanno superato le 100 organizzazioni compromesse nei mesi di giugno e agosto.
Qilin non è un nome nuovo per gli esperti della cybersecurity: scoperto nel 2022, si è evoluto rapidamente in una vera e propria piattaforma di ransomware-as-a-service (RaaS), fornendo strumenti e supporto a criminali informatici di tutto il mondo. Il suo modello di attacco si basa sulla cosiddetta “doppia estorsione”: non solo i dati delle vittime vengono cifrati e resi inaccessibili, ma vengono anche sottratti con la minaccia di pubblicazione, aumentando la pressione psicologica e mediatica sulle organizzazioni colpite.
Il settore più bersagliato da Qilin è quello manifatturiero, che rappresenta circa un quarto delle vittime totali. Seguono i servizi professionali e il commercio all’ingrosso. A livello geografico, gli attacchi si sono concentrati soprattutto in Nord America ed Europa, con Stati Uniti, Canada, Regno Unito, Francia e Germania tra i Paesi più colpiti.
Variabile e flessibile, nemico pericoloso
Qilin si distingue per la varietà e la flessibilità dei suoi strumenti, che lo rendono compatibile con diverse piattaforme. Gli attacchi iniziano spesso con la compromissione di dispositivi di accesso remoto oppure sfruttando vulnerabilità note. Una volta ottenuto l’accesso, i criminali informatici si muovono lateralmente nella rete, utilizzando strumenti legittimi per diffondersi e per esfiltrare i dati.
Un dettaglio inquietante emerso dall’analisi di Cisco Talos è l’utilizzo di programmi apparentemente innocui, come Notepad o Paint, per visualizzare i file rubati prima della cifratura. Questo comportamento suggerisce una pianificazione meticolosa e una volontà di selezionare con cura le informazioni più sensibili da sfruttare nella fase di estorsione.
La fase finale dell’attacco prevede la cifratura dei dati, spesso eseguita in due momenti distinti: un primo programma si occupa di propagarsi nella rete, mentre un secondo si concentra sulla cifratura. I dati rubati vengono poi pubblicati nel dark web su siti gestiti da infrastrutture offshore molto difficili da rintracciare. In alcuni casi, le vittime vengono addirittura invitate a contattare un avvocato tramite il sito degli attaccanti, un servizio che mira a facilitare il pagamento del riscatto.
L’impatto economico di Qilin è significativo: soltanto nel 2024 si stima che il gruppo ransomware abbia incassato oltre 50 milioni di dollari in riscatti. Le varianti più recenti del ransomware sono particolarmente evolute: non esistono al momento strumenti di decrittazione pubblici, e gli attacchi sono progettati per cancellare ogni traccia, rendendo difficile anche la ricostruzione forense.