Não é novidade que o cibercrime funciona como um setor, e os grupos de ransomware são um exemplo claro disso: operam com níveis de organização, sofisticação e estrutura comparáveis aos de uma empresa formal.

O Qilin, grupo que opera no modelo ransomware as a service (RaaS), é um caso que foi ainda mais além ao oferecer suporte jurídico a seus afiliados, com o objetivo de aumentar a pressão durante as negociações de pagamento de resgate com as vítimas.

A seguir, detalhamos a estratégia específica do Qilin, apresentando suas principais características, as metodologias empregadas nos ataques e os motivos que o tornam um dos grupos mais ativos nos últimos anos.

Do que se trata o suporte jurídico do ransomware Qilin?

Os grupos de ransomware as a servisse (RaaS) buscam atrair afiliados oferecendo condições contratuais interessantes e lucrativas. Nesse contexto, o ransomware Qilin se diferenciou ao disponibilizar aos seus parceiros um botão chamado "Call Lawyer", por meio do qual eles podem obter orientação jurídica. O objetivo é proporcionar aos afiliados uma base legal que lhes permita obter maior vantagem nas negociações de pagamento de resgate com suas vítimas.

Dessa forma, eles fornecem suporte especializado em questões técnicas, incluindo a avaliação legal dos prejuízos potenciais e estratégias para maximizar o impacto econômico sobre a empresa caso ela se recuse a atender às exigências. Em outras palavras, o Qilin fornece aos seus afiliados uma ferramenta para conduzir negociações mais profissionais e persuasivas, aumentando a chance de obter um resgate maior.

Além disso, o grupo afirma que conta com uma equipe de jornalistas, cujo intuito é ajudar os afiliados a redigir publicações para blogs e comunicados enviados às vítimas, a fim de exercer maior pressão durante as negociações do resgate.

qilin-ransomware-call-lawyer
Imagem 1. Anúncio do Qilin no fórum Ramp, destacando o serviço de assessoria jurídica. Fonte: Malware News.

Ransomware Qilin: principais características

O Qilin é um grupo que registra atividade desde meados de 2022 e, graças a ataques de alto impacto, foi ganhando espaço na cena do cibercrime. Seus principais alvos são os setores de saúde, educação e financeiro, em países como Brasil, Colômbia, França, Reino Unido e Estados Unidos, entre outros.

O grupo fornece ferramentas e infraestrutura de ransomware aos seus afiliados e, em troca, recebe entre 15% e 20% dos pagamentos obtidos em cada resgate. Em termos de características técnicas, o Qilin utiliza malware desenvolvido em Rust e C para realizar ataques multiplataforma, direcionados a sistemas como Windows, Linux e ESXi. Para isso, emprega loaders, programas projetados para carregar e executar malware, que incorporam mecanismos avançados de evasão. Esses loaders facilitam o movimento lateral dentro das redes comprometidas e a exclusão de registros, com o objetivo de ocultar evidências e dificultar a detecção e análise.

Qual é o principal vetor de acesso? Os e-mails de phishing, que contêm links maliciosos usados para infiltrar-se na rede. Após o acesso inicial, o grupo busca dados essenciais para criptografar e, em cada diretório, deixa uma nota de resgate com instruções para adquirir a chave de descriptografia.

Assim como outros grupos, eles também utilizam a dupla extorsão: além de criptografar os arquivos da vítima, roubam os dados e ameaçam divulgá-los caso o resgate não seja pago.

A crescente atividade do ransomware Qilin

O grupo Qilin começou a registrar atividade a partir de meados de 2022. Com o passar do tempo, seus números cresceram de forma consistente, chegando a mais de 50 ataques apenas na primeira metade de 2024.

Um dado que confirma esse crescimento: desde fevereiro de 2025, o grupo vinha dobrando sua atividade, atingindo o pico em abril, quando o Qilin se posicionou como o grupo de ransomware mais ativo, com mais de 70 vazamentos de dados apenas naquele mês.

E há ainda mais: no segundo trimestre de 2025, o grupo Qilin quase dobrou novamente sua atividade, passando de uma média de 35 vítimas por mês para quase 70. Um dos fatores que pode explicar esse fenômeno é o desaparecimento do RansomHub, já que muitos de seus afiliados parecem ter sido recrutados pelo Qilin.

Principais ataques do ransomware Qilin

O fato do grupo Qilin ter se tornado um dos grupos de ransomware mais relevantes se deve tanto à quantidade de ataques perpetrados quanto à importância dos alvos. A seguir, destacamos alguns casos recentes que ajudam a dimensionar o impacto de sua atividade.

Synnovis

O ataque a um dos principais fornecedores de serviços de patologia de Londres, que chega a processar exames de sangue para diversas organizações do Serviço Nacional de Saúde (NHS), ocorreu em junho de 2024.

Segundo informações da própria instituição, a consequência foi que "o NHS não pode utilizar alguns de seus sistemas essenciais para realizar exames de sangue no sudeste de Londres". Especificamente, houve interrupções em vários hospitais e até escassez de doações de sangue.

Além da interrupção do serviço, e após a Synnovis não ter pago o resgate de US$ 50 milhões (aproximadamente R$ 260 milhões) exigido, o Qilin publicou 400 GB de dados em seu site na dark web, incluindo mais de 300 milhões de interações de pacientes com informações médicas confidenciais e sensíveis.

The Big Issue

Em março de 2024, o Qilin reivindicou o ataque ao jornal britânico, afirmando ter em sua posse mais de 500 GB de dados. Entre as informações obtidas, destacavam-se dados pessoais de funcionários, contratos e até relatórios financeiros.

Por sua vez, o The Big Issue reconheceu o incidente: "Graças às medidas proativas adotadas, conseguimos iniciar a restauração de nossos sistemas e operamos com interrupções limitadas. Como parte da investigação, identificamos que certos dados relacionados à organização foram publicados na dark web".

qilin-ransomware-call-lawyer-2
Imagem 2. Qilin reivindicou o ataque ao The Big Issue em seu site de vazamentos. Fonte: Comparitech.

Inotiv

Um dos casos mais recentes, em agosto de 2025, afetou esta empresa norte-americana especializada em pesquisa farmacêutica. No incidente, sistemas e dados foram criptografados, impactando diretamente as operações comerciais e outras atividades da companhia.

Por sua vez, o Qilin reivindicou o ataque de ransomware em seu site, afirmando ter em sua posse mais de 160 mil arquivos, totalizando 176 GB.

qilin-ransomware-call-lawyer-3
Imagem 3. Publicação do Qilin reivindicando o ataque à Inotiv. Fonte: Bleeping Computer.

Como se proteger do Qilin

O Qilin é um dos grupos de ransomware mais ativos atualmente, o que torna essencial destacar alguns pontos-chave ao elaborar uma estratégia de defesa contra esse tipo de ataque:

#Atualizações e patches de segurança

Assim como outros grupos de ransomware, o Qilin explora vulnerabilidades conhecidas para acessar redes de vítimas. Por isso, é fundamental manter todos os softwares e sistemas da organização atualizados.

#Soluções avançadas de detecção

Contar com soluções de segurança e MDR é essencial para monitorar comportamentos incomuns nos sistemas, incluindo execução de processos não autorizados e movimentos laterais.

#Segmentação de rede e modelo Zero-Trust

Limitar movimentos laterais dentro da rede com controles de acesso bem definidos e rigorosos é uma prática recomendada. O modelo Zero-Trust aumenta a segurança, sugerindo que a empresa não confie automaticamente em nada, dentro ou fora da sua rede ou perímetro.

#Backup

Como o principal objetivo do Qilin é identificar informações sensíveis e criptografá-las, é importante realizar backups periódicos em armazenamento isolado e imutável.

#Capacitação e conscientização

O treinamento em segurança da informação é a primeira linha de defesa. Ensinar todos na organização a identificar e-mails de phishing pode ser a diferença entre evitar ou sofrer uma infecção de ransomware que comprometa sistemas e dados da empresa.