Qilin-Ransomware:
wie Sie Ihr KMU schützen

Kurz gefasst:Qilin ist eine Ransomware, die systematisch italienische KMU angreift, indem sie über nicht aktualisierte oder MFA-lose VPN-Appliances eindringt, die VMware-ESXi-Hypervisoren verschlüsselt und die Backups vor dem Angriff neutralisiert. Man verteidigt sich mit fünf Maßnahmen: Patches für Perimeter-Appliances, MFA überall, Netzwerksegmentierung, EDR auf allen Endpunkten und unveränderliches Backup mit getrennten Zugangsdaten.

Was Qilin ist und warum es italienische KMU trifft

Das CSIRT Italia bei der ACN (Agenzia per la Cybersicurezza Nazionale, die italienische nationale Cybersicherheitsbehörde) hat ein Bulletin mit kritischer Auswirkung herausgegeben, nachdem es seit Anfang 2026 eine erhebliche Anzahl von Angriffen der Ransomware Qilinregistriert hat, die sich vorwiegend gegen italienische KMU richten, einschließlich Cloud-Dienstanbieter. Es handelt sich nicht um Einzelfälle, sondern um eine systematische Kampagne auf nationalem Gebiet.

Qilin wird nach dem Modell Ransomware-as-a-Service (RaaS)betrieben: Wer die Schadsoftware entwickelt, vermietet sie an Partner, die die Angriffe durchführen und das Lösegeld teilen. Sie nutzt die doppelte Erpressung— zuerst werden große Datenmengen exfiltriert, dann die Systeme verschlüsselt — und in Rust geschriebene Payloads, die darauf ausgelegt sind, die VMware-ESXi-Hypervisoren anzugreifen, das Herz der Virtualisierung sehr vieler KMU. Es ist genau die Art von Bedrohung, die die NIS2-Richtlinie zu verhindern verlangt und, im Falle eines Vorfalls, innerhalb enger Fristen zu melden.

Die Kill Chain in fünf Schritten

Das CSIRT-Bulletin beschreibt eine wiederkehrende Angriffskette. Sie zu kennen hilft zu verstehen, wo man eingreifen muss:

• 1Initialer Zugriff— Ausnutzung bekannter, kritischer und nicht behobener Schwachstellen in Perimeter- und VPN-Appliances (insbesondere Produkte von Ivanti und Fortinet) oder Brute-Force-Angriffe auf VPN-Zugangsdaten bei fehlender MFA.
• 2Nutzung legitimer Werkzeuge— für Befehl und Kontrolle missbrauchen die Angreifer bereits verbreitete Verwaltungs- und Fernsupport-Software (wie Atera, Splashtop, ScreenConnect), um sich mit dem normalen Datenverkehr zu vermischen und Kontrollen zu umgehen.
• 3Laterale Bewegung und Anti-Forensik— nachdem sie Fuß gefasst haben, bewegen sich die Angreifer im Netzwerk, eskalieren die Privilegien und löschen systematisch die Protokolle, um die nachfolgenden Untersuchungen zu erschweren.
• 4Neutralisierung der Backups— vor der Verschlüsselung nutzen sie eine bekannte Schwachstelle in der Backup-Software (Veeam Backup & Replication) aus, um deren Zugangsdaten zu extrahieren und die Sicherungskopien zu löschen oder unbrauchbar zu machen.
• 5Verschlüsselung der ESXi-Hypervisoren— die Payload verschlüsselt gezielt die VMware-ESXi-Hosts und setzt mit einem Schlag alle virtuellen Maschinen des Unternehmens außer Betrieb. An diesem Punkt beginnt die Lösegeldforderung, mit der Drohung, die exfiltrierten Daten zu veröffentlichen.

Die fünf vom CSIRT genannten Gegenmaßnahmen

Die gute Nachricht ist, dass die wirksamen Abwehrmaßnahmen bekannt und für ein KMU machbar sind. Es sind die fünf vom CSIRT Italia selbst genannten Maßnahmen:

• 1Zeitnahes Patchen der Perimeter-Appliances— Firewalls, VPN und exponierte Gateways müssen mit Priorität aktualisiert werden: Sie sind das erste Einfallstor. Firewall und Netzwerksicherheit.
• 2Verpflichtende MFA überall— die Mehr-Faktor-Authentifizierung muss bei jedem Zugriff aktiviert werden, einschließlich VPN von Drittanbietern: Sie blockiert Brute-Force-Angriffe auf die Zugangsdaten. Digitales Identitätsmanagement.
• 3Netzwerksegmentierung— Netzwerke, Server und Verwaltungsumgebungen zu trennen begrenzt die laterale Bewegung und verhindert, dass die Kompromittierung eines Endpunkts sofort Hypervisoren und Backups erreicht.
• 4EDR auf allen Endpunkten und Servern— die Erkennung und Reaktion auf den Endpunkten fängt den Missbrauch legitimer Werkzeuge und anomale Aktivitäten vor der Verschlüsselung ab. EDR und XDR.
• 5Offline- oder unveränderliches Backup, mit getrennten Zugangsdaten— das ist die entscheidende Verteidigung: Kopien, die der Angreifer nicht löschen kann, selbst wenn er in die Domäne eindringt. Backup und Disaster Recovery und, für Microsoft-365-Daten, das dedizierte Microsoft-365-Backup.

Was tun bei Verdacht auf eine Kompromittierung

Wenn Sie verdächtige Anzeichen feststellen — anomale VPN-Zugriffe, nicht autorisierte Fernsupport-Werkzeuge, grundlos fehlgeschlagene Backups — schalten Sie die Systeme nicht aus und löschen Sie nichts: isolieren Sie das Netzwerk, bewahren Sie die Protokolle auf und aktivieren Sie sofort das Verfahren zur Reaktion auf Vorfälle. Für die unter den NIS2-Geltungsbereich fallenden Subjekte greift außerdem die Pflicht zur Meldung an das CSIRT innerhalb enger Fristen. Incident Response & Recovery.

Wie AtWorkStudio hilft

Die fünf Gegenmaßnahmen des CSIRT decken sich mit den Leistungen, die wir täglich erbringen: Identitätsmanagement und MFA, EDR/XDR, Netzwerksicherheit, unveränderliches Backup und CSIRT-Ansprechpartner im Outsourcing für die Verwaltung der NIS2-Meldungen. Wir beginnen mit einem Assessment der Sicherheitslage auf Basis von NIST CSF 2.0 und legen gemeinsam die Interventionsprioritäten fest.

Wir sind seit 2000 in Piacenza tätig. Wir sind nach ISO/IEC 27001, 27017, 27018 und ISO 9001 zertifiziert, ACN-qualifiziert für SaaS-Cloud-Dienste, Mitglied von Clusit (Italienischer Verband für Informationssicherheit) und Confindustria Piacenza im RICT-Cluster.