Studio legale Qilin & Associati: Il Ransomware assume Avvocati e lancia il “pacchetto intimidazione”

Gli sviluppatori del ransomware Qilin (da noi intervistati recentemente) hanno offerto ai loro partner l’aiuto e la consulenza di un team di avvocati, in modo da poter fare pressione sulle vittime e costringerle a pagare il riscatto. La pubblicità del nuovo servizio è stata notata dagli specialisti dell’azienda israeliana di sicurezza informatica Cybereason.

Secondo loro, nel pannello dei partner del ransomware è comparsa l’opzione “Chiama un avvocato”.

Si sostiene inoltre che il gruppo abbia ormai una squadra di giornalisti a tempo pieno in grado di collaborare con l’ufficio legale per preparare pubblicazioni volte ad aumentare la pressione sulle vittime.

Inoltre, Qilin ha recentemente aggiunto 1 petabyte di spazio su disco al suo pannello partner (in parte per uso personale dei partner e in parte per l’archiviazione dei dati delle vittime), la possibilità di distribuire spam tramite e-mail e telefono e strumenti per lanciare attacchi DDoS, registrati per la prima volta nell’aprile 2025.

Ricordiamo che il ransomware Qilin è apparso nell’agosto 2022 e inizialmente si chiamava Agenda, per poi cambiare nome un mese dopo. Secondo i ricercatori, solo nell’aprile 2025, il sito ransomware ha registrato 72 nuove vittime e, a maggio, gli esperti lo hanno collegato a 55 attacchi. Gli esperti hanno motivo di ritenere che alcuni partner di RansomHub siano passati a Qilin, il che ha contribuito all’aumento dell’attività malware negli ultimi mesi.

“Oltre a una presenza crescente su forum e tracker dedicati al ransomware, Qilin vanta un’infrastruttura tecnicamente avanzata. Offre payload scritti in Rust e C, loader con funzionalità di elusione avanzate e un pannello di partner che offre esecuzione in modalità provvisoria, propagazione in rete, pulizia dei log e strumenti per negoziazioni automatizzate”, scrivono gli analisti di Cybereason.

Per quanto riguarda la nuova funzionalità di chiamata dell’avvocato, questa potrebbe essere utilizzata per invitare un consulente legale a parlare con la vittima, il quale offrirà assistenza professionale su questioni quali:

• valutazione legale dei dati rubati dai partner di Qilin;
• un certificato attestante quali leggi e regolamenti specifici la vittima ha violato divulgando tali dati;
• una stima dei potenziali costi associati alla risoluzione dell’incidente se la vittima decide di non pagare il riscatto.

Si ritiene che gli avvocati possano anche intervenire nel processo di negoziazione e dialogare direttamente con la vittima, spiegando all’azienda danneggiata che il rifiuto di pagare potrebbe comportare perdite ancora maggiori. Come sottolineano i ricercatori di Tripwire, è probabile che queste affermazioni non siano altro che una trovata di marketing.

“Non fatevi illusioni. Il loro obiettivo è attrarre più partner, aumentare la percentuale di attacchi di riscatto riusciti e cercare di convincere le vittime di avere a che fare con criminali esperti”, affermano gli esperti. Tuttavia, Va da se che Qilin sta diventando uno dei gruppi di ransomware dominanti nel ransomware-as-a-service (RaaS). I suoi ex concorrenti, tra cui LockBit, ALPHV, Everest e RansomHub (che si vociferava fosse stata acquisita da DragonForce), hanno tutti perso influenza negli ultimi anni per vari motivi, in particolare a causa delle forze dell’ordine.

Pietro Melillo

Membro e Riferimento del gruppo di Red Hot Cyber Dark Lab, è un ingegnere Informatico specializzato in Cyber Security con una profonda passione per l’Hacking e la tecnologia, attualmente CISO di WURTH Italia, è stato responsabile dei servizi di Cyber Threat Intelligence & Dark Web analysis in IBM, svolge attività di ricerca e docenza su tematiche di Cyber Threat Intelligence presso l’Università del Sannio, come Ph.D, autore di paper scientifici e sviluppo di strumenti a supporto delle attività di cybersecurity. Dirige il Team di CTI "RHC DarkLab"

Aree di competenza: Cyber Threat Intelligence, Ransomware, Sicurezza nazionale, Formazione