Qilins nettverk for bulletproof-hosting har blitt et sentralt verktøy for cyberkriminelle. Ved å skjule seg bak leverandører som ignorerer forespørsler om nedtakning, kunne ransomware-gruppen gjennomføre det omtalte Asahi-angrepet i Japan og samtidig utvide sitt globale fotavtrykk.
Hva er bulletproof-hosting?
Bulletproof-hostingtjenester gjør det mulig for kunder å drive ondsinnede servere samtidig som de unngår oppdagelse eller stenging. Slike leverandører opererer ofte i land med svak regulering og begrenset samarbeid med rettshåndhevende myndigheter.
Cybersikkerhetsforskere advarer om at slike nettverk utgjør selve ryggraden i ransomware-operasjoner som Qilin. De beskytter kommando- og kontrollservere, muliggjør datatyveri og gjør det nesten umulig for etterforskere å spore angrepene.
Asahi-angrepet i Japan
I midten av 2025 ble Asahi Breweries i Japan rammet av et alvorlig ransomware-angrep. Bruddet forstyrret drikkevareproduksjonen og tvang deler av distribusjonskjeden offline. Qilin tok senere på seg ansvaret på sin lekkasjeside og truet med å offentliggjøre stjålne selskapsdata.
Hendelsen viste hvordan gruppen utnyttet bulletproof-hosting for å opprettholde stabil kontroll over infiserte systemer samtidig som den skjulte sin infrastruktur. Sikkerhetsselskapet Resecurity bekreftet at Qilin brukte roterende IP-adresser og anonyme domener hostet gjennom underjordiske BPH-nettverk.
Qilins voksende virksomhet
Siden sin fremkomst i 2022 under navnet Agenda har Qilin utviklet seg til en omfattende ransomware-as-a-service (RaaS)-operasjon. Gruppens samarbeidspartnere har angrepet selskaper i Europa, Nord-Amerika og Asia, med særlig fokus på energi-, produksjons- og offentlig sektor.
Qilin benytter avanserte double-extortion-taktikker, der sensitiv data stjeles før nettverk krypteres. Gruppen samarbeider også med kjente bulletproof-hosting-leverandører som Bearhost Servers, beryktet for å huse kriminell infrastruktur.
Kobling til statlige aktører
Microsofts Threat Intelligence-team har observert likheter mellom Qilins taktikker og aktivitetene til Moonstone Sleet, en aktør med tilknytning til Nord-Korea. Eksperter mener de to gruppene deler verktøy eller infrastruktur, noe som kompliserer både attribusjon og mottiltak.
Forsvar mot BPH-baserte trusler
Organisasjoner kan redusere risikoen for ransomware-angrep som utnytter BPH ved å:
- Overvåke domener og IP-adresser i sanntid.
- Samarbeide med internettleverandører og trusselinformasjonsnettverk.
- Implementere zero-trust-tilgangskontroller og segmentert infrastruktur.
- Etablere en omfattende beredskapsplan med raske isoleringsprosedyrer.
Konklusjon
Qilins bulletproof-hosting-modell viser hvordan robust infrastruktur muliggjør moderne ransomware-operasjoner. Etter hvert som myndigheter intensiverer kampen mot cyberkriminalitet, vil trusselaktører fortsette å utnytte disse skjulte hostingmiljøene. Økt synlighet i infrastrukturen og oppdaterte forsvarstiltak forblir de mest effektive strategiene mot slike vedvarende trusler.
0 responses to “Qilins bulletproof-hosting: den skjulte ryggraden bak Asahi-angrepet”