Negli ultimi mesi, il panorama della cybersicurezza internazionale è stato scosso da un’ondata di attacchi ransomware riconducibili al gruppo Qilin, una minaccia sempre più sofisticata e aggressiva. Secondo una recente analisi pubblicata da Cisco Talos, Qilin colpisce oltre 40 nuove vittime ogni mese nella seconda metà del 2025, con picchi che hanno superato le 100 organizzazioni compromesse nei mesi di giugno e agosto.

Qilin non è un nome nuovo per gli esperti della cybersecurity. Scoperto nel 2022, si è evoluto rapidamente in una vera e propria piattaforma di ransomware-as-a-service (RaaS), fornendo strumenti e supporto a criminali informatici di tutto il mondo. Il suo modello di attacco si basa sulla cosiddetta “doppia estorsione”: non solo i dati delle vittime vengono cifrati e resi inaccessibili, ma vengono anche sottratti con la minaccia di pubblicazione, aumentando la pressione psicologica e mediatica sulle organizzazioni colpite.

Il settore più bersagliato da Qilin è quello manifatturiero, che rappresenta circa un quarto delle vittime totali. Seguono i servizi professionali e il commercio all’ingrosso. A livello geografico, gli attacchi si sono concentrati soprattutto in Nord America ed Europa, con Stati Uniti, Canada, Regno Unito, Francia e Germania tra i paesi più colpiti.

ADKq_Nb4q99J2cARkU0y8uvfRs62MF0s

Dal punto di vista tecnico, Qilin si distingue per la varietà e la flessibilità dei suoi strumenti, che lo rendono compatibile con diverse piattaforme. Gli attacchi iniziano spesso con la compromissione di dispositivi di accesso remoto oppure sfruttando vulnerabilità note. Una volta ottenuto l’accesso, i criminali informatici si muovono lateralmente nella rete, utilizzando strumenti legittimi per diffondersi e per esfiltrare i dati.

 

Un dettaglio inquietante emerso dall’analisi di Cisco Talos è l’utilizzo di programmi apparentemente innocui, come Notepad o Paint, per visualizzare i file rubati prima della cifratura. Questo comportamento suggerisce una pianificazione meticolosa e una volontà di selezionare con cura le informazioni più sensibili da sfruttare nella fase di estorsione.

La fase finale dell’attacco prevede la cifratura dei dati spesso eseguita in due momenti distinti, con un primo programma che si occupa di propagarsi nella rete, mentre un secondo si concentra sulla cifratura. I dati rubati vengono poi pubblicati nel dark web su siti gestiti da infrastrutture offshore molto difficili da rintracciare. In alcuni casi, le vittime vengono addirittura invitate a contattare un avvocato tramite il sito degli attaccanti, un servizio che mira a facilitare il pagamento del riscatto.

screenshot-blog.talosintelligence.com-2025.12.01-12_09_55

L’impatto economico di Qilin è significativo, tanto che soltanto nel 2024 il gruppo ransomware avrebbe incassato oltre 50 milioni di dollari in riscatti. Le varianti più recenti del ransomware sono particolarmente evolute e non esistono al momento strumenti di decrittazione pubblici, senza contare che gli attacchi sono progettati per cancellare ogni traccia, rendendo difficile anche la ricostruzione forense.

Di fronte a questa minaccia, Cisco Talos raccomanda una serie di misure urgenti. È fondamentale aggiornare immediatamente tutti i software con vulnerabilità note, in particolare quelli legati all’accesso remoto e ai backup. L’autenticazione a più fattori, la segmentazione della rete, il monitoraggio dei comportamenti anomali e la formazione del personale sono strumenti essenziali per ridurre il rischio. Anche il backup offline dei dati critici deve tornare ad essere una priorità assoluta.