Qilin ransomware : 4 nouvelles victimes en 5 jours, santé et énergie dans le viseur

Les faits

Le groupe ransomware Qilin (alias Agenda) a publié quatre nouvelles revendications sur son site de fuite Tor entre le 2 et le 5 juin 2026. Les victimes sont : Clínica Maitenes (établissement de santé, Chili, 2 juin), Trican Well Service (services para-pétroliers, Canada, 4 juin), Avcon Jet (aviation privée, Autriche, 5 juin) et Don Don (agroalimentaire, Slovénie, 5 juin). Aucune de ces organisations n'avait fait de déclaration publique au moment de la rédaction.

Ces quatre revendications illustrent la stratégie sectorielle de Qilin : aucune spécialisation verticale, mais une sélection systématique d'organisations opérant des infrastructures à haute contrainte de disponibilité. L'énergie, l'aviation, la santé et l'agroalimentaire partagent une caractéristique commune déterminante — une interruption de système génère immédiatement des conséquences opérationnelles graves, ce qui accélère la pression sur la victime et augmente mécaniquement la propension au paiement.

Qilin opère comme une plateforme Ransomware-as-a-Service (RaaS) depuis au moins 2022. Le groupe central développe et maintient le ransomware builder, l'infrastructure de négociation et le site de fuite. Des affiliés recrutés sur des forums cybercriminels privés mènent les intrusions. En échange, Qilin perçoit entre 15 et 20 % des rançons versées selon les analyses de threat intelligence disponibles. Ce modèle démultiplie le volume d'attaques sans que le groupe central opère chaque intrusion, rendant l'attribution judiciaire et la disruption des opérations plus complexes.

Le modèle de double extorsion est systématique : avant le chiffrement, les affiliés exfiltrent les fichiers les plus sensibles de la victime. La pression est donc double — récupérer l'accès aux systèmes ET éviter la publication des données. Pour les entités soumises au RGPD, la menace de publication crée une obligation de notification CNIL dans les 72 heures suivant la découverte, indépendamment du paiement. Cette réalité juridique renforce encore la position de négociation des attaquants face aux organisations européennes.

Sur le plan technique, le ransomware Qilin est développé en Go (Golang), ce qui lui confère une portabilité native sur Windows, Linux et ESXi. La variante ESXi est particulièrement préoccupante : elle cible directement les datastores VMFS et peut chiffrer l'ensemble des VMDK hébergés sur un hôte ESXi en quelques minutes, compromettant simultanément tous les serveurs virtualisés. Des campagnes Qilin ciblant spécifiquement ESXi ont été documentées dans de multiples rapports depuis le T4 2025, certaines paralysant des SI entiers en moins de 20 minutes après l'accès initial à l'hyperviseur.

En 2026, Qilin s'est imposé comme l'un des acteurs ransomware les plus actifs. Les données de ransomware.live indiquent 168 victimes dans la santé à fin mai 2026, derrière le secteur manufacturier (291) et les services aux entreprises (245). L'analyse de The Cyber Express de juin 2026 place Qilin et INC Ransom comme les deux groupes moteurs de la hausse d'activité 2026, partiellement compensant le déclin de LockBit (infrastructure partiellement démantelée en 2024) et ALPHV/BlackCat.

Les vecteurs d'intrusion initiaux les plus documentés incluent l'exploitation de concentrateurs VPN sans MFA (FortiGate, Palo Alto GlobalProtect, Ivanti Connect Secure touchés par des CVE 2025-2026), les identifiants volés via infostealers (Redline, Lumma, Raccoon) revendus sur Russian Market ou Genesis, et le phishing ciblé. Dans plusieurs incidents analysés, l'affilié a utilisé des outils de contrôle à distance légitimes — AnyDesk, ScreenConnect, Splashtop — comme mécanisme de persistance après la compromission initiale, compliquant significativement la détection SOC. Sources : ransomware.live, Barracuda Networks, The Cyber Express, RedPacket Security, Huntress (juin 2026).

Impact et exposition

Les secteurs santé, énergie, transport et services à forte dépendance opérationnelle sont prioritairement visés. Les entités exposant des VPN sans MFA, utilisant des versions non patchées de Fortinet ou Ivanti, ou présentant des accès RDP ouverts constituent les cibles les plus accessibles. La capacité ESXi du ransomware représente un risque particulier pour les infrastructures virtualisées centralisées où une seule compromission paralyse l'ensemble du SI.

Recommandations

• Activer le MFA sur l'ensemble des VPN et accès distants — premier vecteur documenté dans les incidents Qilin, mesure la plus efficace à court terme
• Appliquer les patches Fortinet, Ivanti et Palo Alto en retard — consulter la CISA KEV pour les vulnérabilités activement exploitées dans ces produits
• Isoler les hôtes VMware ESXi dans un segment réseau dédié et restreindre l'accès à l'API vCenter aux seuls systèmes d'administration
• Vérifier les règles de détection EDR pour les outils de double usage (AnyDesk, ScreenConnect) utilisés hors de leur périmètre habituel
• Tester et valider les sauvegardes hors ligne (air-gap) — en cas d'attaque Qilin sur ESXi, les backups accessibles réseau sont chiffrés en même temps