Threat Intelligence

Qilin

Qilin (auch „Agenda“) zählt seit der Zerschlagung von LockBit zu den aktivsten Ransomware-as-a-Service-Gruppen weltweit – mit Fokus auf Mittelstand, Produktion und Gesundheitswesen.

Kurz erklärt

Qilin ist eine Ransomware-as-a-Service-Operation, die seit 2022 aktiv ist und deren Affiliates Unternehmen per Double Extortion erpressen: Daten werden gestohlen, Systeme verschlüsselt, und mit Veröffentlichung gedroht. Nach dem Wegfall von LockBit und ALPHV gehört Qilin 2025/2026 laut Threat-Reports konstant zu den Gruppen mit den meisten gelisteten Opfern.

Typ

Ransomware-as-a-Service (RaaS), auch als „Agenda“ bekannt

Status

Aktiv – seit 2022, stark gewachsen seit 2024 (Stand: Juli 2026)

Motivation

Finanziell – Lösegeld durch Verschlüsselung und Datenerpressung

Typische Ziele

Mittelstand und Konzerne: Produktion, Gesundheitswesen, professionelle Dienstleistungen

Taktiken

Double Extortion, Datenexfiltration, Zugang über Phishing, gestohlene Zugangsdaten und ungepatchte Randsysteme

Risiko-Einschätzung

Hoch – hohe Aktivität, professionelle Affiliates, branchenübergreifend

Was Unternehmen jetzt prüfen sollten

  • Externe Angriffsfläche: ungepatchte VPNs, Firewalls und exponierte Dienste
  • MFA flächendeckend – besonders für Remote-Zugänge und Admin-Konten
  • Offline- bzw. unveränderliche Backups inklusive getestetem Wiederanlauf
  • 24/7-Erkennung am Endpoint (EDR/MDR) – Qilin-Affiliates arbeiten oft nachts

Wie Argos unterstützt

24/7-Erkennung und Reaktion über das Cyber Defense Center, Incident Response mit ≤ 30 Minuten Reaktionszeit remote – und mit dem IR-Retainer priorisierter Zugang im Ernstfall.