Ransomware Lintas Platform Qilin

Image credit: Freepix

Kelompok Qilin dikenal juga sebagai Agenda bukan lagi sekadar ancaman siber biasa. Mereka adalah grup penjahat siber yang ditakuti di dunia saat ini.

Grup yang didominasi penutur bahasa Rusia ini telah bertransformasi menjadi salah satu kelompok Ransomware as a Service (RaaS) paling berpengaruh di dunia.

Terkenal karena efisiensi, target yang berani, dan taktik serangan lintas platform yang sulit dideteksi oleh solusi keamanan konvensional.

Baca juga: 3 Pintu Masuk Ransomware Serang UKM

Kemunculan dan Evolusi Qilin

Grup Qilin pertama kali terdeteksi sekitar Juli 2022. Sejak saat itu, mereka menunjukkan evolusi teknis yang pesat.

Dari sisi teknis, Qilin awalnya menggunakan bahasa pemrograman Go, tetapi kemudian beralih ke Rust. Keputusan migrasi ke Rust sangat strategis karena bahasa ini memiliki tingkat deteksi oleh antivirus (AV) yang lebih rendah, sekaligus memberikan kemampuan untuk menargetkan berbagai arsitektur sistem dengan lebih baik.

Mengenai model bisnisnya, Qilin beroperasi sebagai Ransomware-as-a-Service (RaaS), di mana operator menyediakan malware dan infrastruktur, sementara afiliasi melakukan serangan dan membagi hasil tebusan.

Taktik pemerasan yang digunakan Qilin adalah Pemerasan Ganda (Double Extortion), mereka tidak hanya mengenkripsi data korban, tetapi juga mencurinya terlebih dahulu. Jika korban menolak membayar, data sensitif diancam akan dipublikasikan di situs leak site mereka di dark web.

Qilin dengan cepat naik daun pada tahun 2025, secara konsisten mempublikasikan informasi korban di situs kebocoran mereka dengan rata-rata lebih dari 40 kasus per bulan.

Serangan Lintas Platform Canggih

Langkah Qilin yang paling mengkhawatirkan adalah pengembangan teknik serangan yang mampu menetralisir pertahanan sistem berbasis Windows dengan cerdik.

1. Serangan Lintas Platform (Linux Binary di Windows Hosts)

Qilin melakukan serangan cross-platform yang dapat mengakali solusi Endpoint Detection and Response (EDR) yang terfokus pada Windows.

  • Qilin menyebarkan binary ransomware berbasis Linux ke hosts (komputer) Windows.
  • Mereka menyalahgunakan alat manajemen jarak jauh dan transfer file yang sah, seperti AnyDesk, ATERA Networks’ RMM, dan ScreenConnect. Secara spesifik, mereka menggunakan WinSCP untuk transfer file dan Splashtop Remote untuk mengeksekusi binary Linux di mesin Windows.
  • Teknik ini menunjukkan bagaimana pelaku ancaman beradaptasi untuk melewati sistem deteksi yang tidak dikonfigurasi untuk mendeteksi atau mencegah eksekusi binary Linux melalui saluran manajemen jarak jauh.

Baca juga: Tiga Raksasa Ransomware Bersatu Bentuk Kartel Baru

2. Bypass MFA dan Pencurian Kredensial (Initial Access)

Titik masuk awal Qilin seringkali sangat licik:

  • Diduga melalui skema rekayasa sosial canggih menggunakan halaman CAPTCHA palsu yang di-hosting di infrastruktur Cloudflare R2.
  • Halaman palsu ini mengirimkan infostealer yang bertugas memanen token autentikasi, browser cookies, dan kredensial yang tersimpan di sistem yang terinfeksi.
  • Dengan memperoleh kredensial dan token sesi yang sah, Qilin dapat melewati Multi-Factor Authentication (MFA) dan bergerak secara lateral di jaringan korban menggunakan sesi pengguna yang sah, alih-alih mengandalkan teknik eksploitasi tradisional.

3. Target Infrastruktur Pemulihan Data (Veeam)

Salah satu langkah paling destruktif Qilin adalah menargetkan infrastruktur backup, secara spesifik: Veeam.

  • Qilin menggunakan alat khusus untuk secara sistematis mencuri kredensial dari berbagai database backup untuk mengkompromikan kemampuan pemulihan bencana (disaster recovery) organisasi.
  • Tujuannya adalah menonaktifkan semua opsi pemulihan data, memaksa korban membayar tebusan karena tidak ada jalan keluar lain.

4. BYOVD (Bring Your Own Vulnerable Driver)

Untuk menetralkan pertahanan endpoint lebih lanjut, Qilin menggunakan serangan BYOVD. Teknik ini memanfaatkan driver Windows yang sah tetapi memiliki kerentanan, yang kemudian digunakan untuk mendapatkan hak akses istimewa dan mematikan solusi keamanan.

Statistik dan Dampak Global

Qilin adalah ancaman global yang memprioritaskan keuntungan finansial, bahkan jika harus menargetkan infrastruktur penting.

Qilin beroperasi tanpa batasan etika, memprioritaskan keuntungan finansial di atas potensi dampak sosial, dengan menjadikan Infrastruktur Kritis dan Infrastruktur Kesehatan sebagai target utama mereka, di samping sektor-sektor kunci lainnya seperti Manufaktur,

Teknologi, Layanan Keuangan, dan Kesehatan. Contoh kasus signifikan yang menunjukkan sepak terjang mereka antara lain adalah serangan terhadap Kementerian Kesehatan Palau (Februari 2025) dan Bandara Internasional Kuala Lumpur (KLIA) (Maret 2025).

Secara geografis, jangkauan global Qilin sangat luas; sejak Januari 2025, lebih dari 700 organisasi di 62 negara telah terpengaruh, dengan korban terbanyak di Amerika Serikat, Prancis, Kanada, dan Inggris.

Baca juga: Mengapa UKM Adalah Target Empuk Ransomware

Aliansi “Kartel” Ransomware Terbaru

Pada tahun 2025, Qilin semakin memperkuat dirinya dengan bergabung dalam “kartel” ransomware bersama kelompok besar lainnya, yaitu LockBit dan DragonForce.

Aliansi ini bertujuan untuk berbagi sumber daya, teknik, dan informasi serangan, membuat mereka menjadi musuh yang jauh lebih tangguh dan terorganisir.

Langkah-Langkah Pertahanan yang Disarankan

Mengingat potensi ancaman yang signifikan, terutama bagi lingkungan yang menggunakan platform akses jarak jauh, solusi backup terpusat, atau infrastruktur hybrid Windows/Linux, para ahli keamanan menyarankan tindakan pencegahan berikut:

  1. Amankan platform akses jarak jauh (RMM) dan batasi penggunaannya hanya pada hosts yang berwenang.
  2. Terapkan Multi-Factor Authentication (MFA) yang tahan phishing. Ini penting untuk mengamankan kredensial dan token akses dari teknik social engineering Qilin.
  3. Lakukan hardening pada infrastruktur backup (terutama Veeam) dan amankan akun yang memiliki hak istimewa untuk mengakses data backup agar Qilin tidak dapat melumpuhkan opsi pemulihan.
  4. Pastikan solusi EDR dan playbook SOC Anda mencakup telemetri Windows DAN Linux untuk mendeteksi ancaman lintas platform.
  5. Terapkan solusi yang mampu mendeteksi dan mencegah serangan BYOVD yang digunakan untuk menonaktifkan kontrol keamanan.

 

 

 

 

Baca juga: 

 

 

 

Sumber berita:

 

Prosperita IT News

 

Tags:

Related News

CoPhish Targetkan Pengguna Microsoft Copilot

CoPhish Targetkan Pengguna Microsoft Copilot

October 29, 2025
Serangan Browser in the Middle

Serangan Browser in the Middle

October 29, 2025

You may have missed

Ancaman Global Berkedok Pekerja IT

Ancaman Global Berkedok Pekerja IT

October 30, 2025
Ransomware Lintas Platform Qilin

Ransomware Lintas Platform Qilin

October 30, 2025
Anatomi Serangan Business Email Compromise

Anatomi Serangan Business Email Compromise

October 30, 2025
MSP Butuh Adopsi Layanan MDR

MSP Butuh Adopsi Layanan MDR

October 29, 2025
Bahaya Shadow IT Bagi Perusahaan

Bahaya Shadow IT Bagi Perusahaan

October 29, 2025
CoPhish Targetkan Pengguna Microsoft Copilot

CoPhish Targetkan Pengguna Microsoft Copilot

October 29, 2025