El gener de 2026 va aparèixer en circulació una nova variant per a Linux del ransomware Qilin (abans conegut com Agenda), pensada per atacar entorns de virtualització VMware ESXi. És de les primeres famílies de ransomware que es concentra tant en els hipervisors ESXi, un objectiu cada cop més buscat: xifres un sol host i deixes inservibles desenes de màquines virtuals de cop.
Què és i com funciona
Qilin és una operació de ransomware com a servei (RaaS) que va arrencar com a “Agenda” l’agost de 2022 i es va reanomenar Qilin el setembre d’aquell mateix any. La nova mostra és un xifrador multiplataforma. En executar-se comprova si corre sobre Linux, FreeBSD o un servidor VMware ESXi i ajusta el seu comportament segons el cas.
El que més crida l’atenció del binari és com de flexible és. Admet configuració incrustada i arguments de línia d’ordres amb què l’atacant pot activar un mode de depuració, llançar un escaneig de prova (dry-run), decidir si xifra o no les màquines virtuals i els seus snapshots, i ajustar llistes blanques i negres de directoris, extensions de fitxer i processos.
A qui afecta
El blanc principal són els servidors VMware ESXi, juntament amb sistemes Linux i FreeBSD. El xifrador va a buscar els directoris amb més valor —bases de dades, emmagatzematge de virtualització i còpies de seguretat— i deixa fora rutes crítiques del sistema com /boot/, /proc/ i /sys/ per no tombar el host abans d’acabar el xifratge. Un cop xifra, afegeix una extensió configurada als fitxers i deixa una nota de rescat a cada carpeta afectada.
El més perjudicial és com tracta les màquines virtuals. Abans de xifrar atura les VM i esborra els seus snapshots amb ordres pròpies d’ESXi com esxcli i esxcfg-advcfg, una cosa poc habitual en altres xifradors d’ESXi. Sense snapshots, les opcions de recuperar sense pagar el rescat es redueixen dràsticament.
Gravetat
L’impacte és alt. Qilin ha estat un dels grups de ransomware més prolífics, amb centenars de víctimes i rescats que van des d’uns 25.000 dòlars fins a diversos milions. Que el xifrador aturi màquines virtuals i esborri snapshots de manera automatitzada el fa especialment perillós per a centres de dades i proveïdors que concentren les seves càrregues de treball en ESXi.
Mitigació i recomanacions
No parlem d’una vulnerabilitat concreta amb el seu pedaç, sinó d’una eina de xifratge que es desplega després d’un accés inicial. La defensa, doncs, va per capes:
- Mantén còpies de seguretat fora de línia o immutables, que no es puguin assolir des del mateix host ESXi.
- Restringeix i vigila l’accés administratiu a ESXi i al vCenter; aplica autenticació multifactor.
- Activa el mode de bloqueig (lockdown mode) d’ESXi i limita el shell SSH.
- Vigila l’execució inesperada d’ordres
esxcliiesxcfg-advcfgi l’aturada massiva de VM. - Aplica els pedaços de VMware i segmenta la xarxa de gestió.