Qilin nousi vuoden 2025 aikana maailman aktiivisimmaksi kiristyshaittaohjelmaksi, ja vauhti jatkui vuoden 2026 puolelle. Eri seurantapalvelut laskivat ryhmälle yli tuhat hyökkäystä yhden vuoden aikana, ja kasvuluvut ylittivät 400 prosenttia edellisvuoteen verrattuna. Venäjään kytketty operaatio iski sairaaloihin, mediataloihin ja julkishallintoon, ja sen palvelumalli houkutteli kumppaneita, jotka jäivät vaille työnantajaa muiden ryhmien romahdettua. Tämä analyysi käy läpi numerot, tekniikan, markkinavaikutuksen ja sen, mitä Qilinin nousu tarkoittaa Suomelle ja Pohjoismaille.
Julkaistu 15. kesäkuuta 2026. Kaikki luvut perustuvat vuosien 2025 ja 2026 julkaistuihin lähteisiin, jotka on nimetty tekstissä.
Qilin nousi vuoden 2026 hallitsevaksi kiristysuhkaksi
Kiristyshaittaohjelmien maailma järjestyi uudelleen alle vuodessa. Qilin, jota kutsutaan myös nimellä Agenda, siirtyi marginaalista listojen kärkeen. Fortinetin koostamien tilastojen mukaan Qilinistä tuli aktiivisin kiristysryhmä jo kesäkuussa 2025, jolloin se toteutti 81 hyökkäystä yhden kuukauden aikana. Se oli 47,3 prosentin nousu edelliseen kuukauteen, ja se merkitsi käännekohtaa koko alalla.
Nousu ei ollut hetkellinen piikki. Bitsightin kesäkuun 2026 koonti arvioi Qilinin tehneen noin 1 448 hyökkäystä edeltäneen 12 kuukauden aikana, mikä piti ryhmän listan kärjessä myös alkuvuonna 2026. The Cannata Report puolestaan laski Qilinille 1 066 tapausta koko vuonna 2025, mikä oli 408 prosentin kasvu vuoteen 2024 verrattuna. Luvut eroavat toisistaan, koska seurantapalvelut käyttävät eri laskutapoja, mutta ne osoittavat saman suunnan: Qilin oli kiristyshaittaohjelmien ehdoton voittaja.
Kiristyshaittaohjelma (englanniksi ransomware) tarkoittaa haittaohjelmaa, joka salaa uhrin tiedostot ja vaatii lunnaita salausavaimesta. Qilin toimii palvelumallilla, jossa ydinryhmä kehittää työkalut ja kumppanit suorittavat varsinaiset murrot. Tämä rakenne selittää, miksi yksi nimi pystyi tuottamaan yli tuhat hyökkäystä vuodessa. Qilin ei ole yksittäinen jengi vaan alusta, jolla kymmenet hyökkääjät tekevät töitä samalla brändillä.
Mikä Qilin on: Agendasta Rust-pohjaiseen koneeseen
Qilin ilmestyi ensimmäisen kerran nimellä Agenda vuonna 2022. Picus Securityn analyysin mukaan alkuperäinen Agenda kirjoitettiin Go-kielellä, mutta ryhmä siirtyi myöhemmin Rust-pohjaiseen versioon. Vaihto ei ollut kosmeettinen. Rust-kielellä käännetty haittaohjelma on vaikeampi analysoida ja torjua, ja se kääntyy tehokkaasti useille käyttöjärjestelmille. Sama koodipohja toimii Windowsissa, Linuxissa ja VMware ESXi -virtualisointialustalla, mikä laajentaa mahdollisten kohteiden kirjoa palvelinkeskuksiin asti.
Ryhmän alkuperää pidetään venäläisenä tai laajemmin IVY-maihin kytkeytyvänä. Barracudan heinäkuun 2025 analyysi toteaa, että todisteet viittaavat tukikohtaan Venäjällä tai jossakin toisessa IVY-maassa, mutta ydinoperaattoreiden tarkka sijainti on vahvistamatta. Tämä on tyypillistä kiristysoperaatioille, jotka toimivat valtioiden katveessa ja välttävät hyökkäyksiä entisen Neuvostoliiton alueelle. Venäjäkytkös tekee Qilinistä erityisen merkityksellisen Suomelle ja Pohjoismaille, joiden uhkakuva on muuttunut Naton laajentumisen ja Ukrainan sodan myötä.
Qilin on lisännyt arsenaaliinsa myös muuta kuin tiedostojen salausta. Barracudan mukaan ryhmä otti vuoden 2025 aikana käyttöön roskapostikampanjoita, palvelunestohyökkäysten kykyjä ja automatisoituja työkaluja. Tämä kaksoiskiristyksen ja kolmoiskiristyksen logiikka tarkoittaa, että uhria painostetaan samanaikaisesti salauksella, varastettujen tietojen julkaisu-uhalla ja palvelujen kaatamisella. Mallista on tullut alan vakiokäytäntö, ja Qilin on vienyt sen pitkälle.
Numerot: 1 066 hyökkäystä ja 408 prosentin kasvu
Qilinin kasvukäyrä on jyrkkä riippumatta siitä, mikä lähde valitaan. Industrial Cyberin lokakuun 2025 raportti kuvaa nousua, jossa hyökkäysväitteet kasvoivat 280 prosenttia: huhtikuun 2025 lopun 185 tapauksesta 701 tapaukseen myöhemmin samana vuonna. Sama raportti yhdistää Qiliniin yhteensä 926 hyökkäystä, joista 168 oli vahvistettu, ja vahvistetuissa tapauksissa oli vuotanut 2 302 433 tietuetta. Luvut antavat kuvan operaation laajuudesta: kyse ei ole yksittäisistä iskuista vaan teollisesta mittakaavasta.
Alla oleva taulukko kokoaa Qilinin keskeiset luvut eri seurantapalvelujen mukaan. Erot johtuvat laskutavoista: osa laskee vain vahvistetut uhrit, osa kaikki väitetyt hyökkäykset ja osa eri aikajaksoilta.
| Mittari | Luku | Ajanjakso | Lähde |
|---|---|---|---|
| Hyökkäyksiä yhteensä | 1 066 | Koko vuosi 2025 | The Cannata Report |
| Kasvu edellisvuoteen | +408 % | 2024 vs 2025 | The Cannata Report |
| Hyökkäyksiä yhden kuukauden aikana | 81 | Kesäkuu 2025 | Fortinet / Cyfirma |
| Kuukausikasvu | +47,3 % | Kesäkuu 2025 | Fortinet / Cyfirma |
| Hyökkäysväitteiden kasvu | +280 % | Huhti–loppuvuosi 2025 | Industrial Cyber |
| Yhdistettyjä hyökkäyksiä | 926 (168 vahvistettu) | 2025 | Industrial Cyber |
| Vuotaneita tietueita | 2 302 433 | 2025 | Industrial Cyber |
| Arvioituja hyökkäyksiä | ~1 448 | 12 kk kesäkuuhun 2026 | Bitsight |
Kokonaiskuvaa täydentää alan yleinen kehitys. The Cannata Report arvioi kiristyshaittaohjelmahyökkäysten kasvaneen 45 prosenttia vuonna 2025. Qilin ei siis noussut tyhjiössä vaan kasvavilla markkinoilla, mutta se kasvoi selvästi nopeammin kuin ala keskimäärin. Kun koko toimiala kasvoi 45 prosenttia, Qilin kasvoi yli 400 prosenttia. Ero kertoo, että ryhmä otti markkinaosuutta kilpailijoiltaan. Juuri tämä keskittyminen tekee Qilinistä erityisen tärkeän seurattavan.
RaaS-malli: miksi 85 prosentin osuus houkuttelee
Qilinin menestyksen ydin on sen liiketoimintamalli. Ransomware-as-a-Service eli RaaS tarkoittaa, että ryhmä vuokraa haittaohjelmansa ja infrastruktuurinsa kumppaneille, jotka tekevät murrot. Center for Internet Securityn (CIS) mukaan Qilinin kumppanit pitävät 80–85 prosenttia lunnaista, ja ydinjohto ottaa 15–20 prosenttia. Dexpose-tietoturvayhtiön analyysi puhuu jopa 85 prosentin kumppaniosuudesta. Tämä on alan korkeimpia jakosuhteita, ja se selittää suoraan, miksi kokeneet hyökkääjät siirtyivät Qilinin alle.
Malli muistuttaa laillista franchising-toimintaa. Ydinryhmä huolehtii kehityksestä, neuvotteluinfrastruktuurista ja vuotosivustosta, kun taas kumppanit tuovat pääsyn kohdeverkkoihin. Mitä houkuttelevampi jakosuhde, sitä parempia kumppaneita alusta vetää puoleensa. Korkea osuus on Qilinin kilpailuvaltti samalla tavalla kuin palkka houkuttelee osaajia työmarkkinoilla. Kun kilpailevat operaatiot kaatuivat tai menettivät luottamuksen, Qilin tarjosi vakaan ja tuottoisan vaihtoehdon.
RaaS-mallin seuraus on, että hyökkäysten tyyli vaihtelee. Sama Qilin-brändi voi näkyä hyvin erilaisina murtoina, koska eri kumppanit käyttävät eri tekniikoita alkupääsyyn. Tämä vaikeuttaa puolustajien työtä, koska yhtä ainoaa allekirjoitusta ei ole. Picus Security ja Dexpose kuvaavat Qiliniä juuri tällaisena alustana, jossa ydinoperaattorit pyörittävät vuoto- ja maksuinfrastruktuuria ja kumppanit suorittavat tunkeutumiset.
Kohteet: NHS, Synnovis ja kriittinen infrastruktuuri
Qilinin tunnetuin isku osui Lontoon terveydenhuoltoon. Picus Securityn mukaan ryhmä hyökkäsi vuonna 2024 laboratoriopalveluyhtiö Synnovisiin ja vaati 50 miljoonan dollarin lunnaita. Hyökkäys halvaannutti useiden NHS-sairaaloiden toiminnan Lontoossa, lykkäsi leikkauksia ja häiritsi verikokeiden käsittelyä. Tapaus osoitti, että kiristyshaittaohjelma ei ole vain tietotekninen ongelma vaan potilasturvallisuuden kysymys. Se on yhä laajalti viitattu esimerkki vuosien 2025 ja 2026 raportoinnissa.
Qilin ei ole rajoittunut terveydenhuoltoon. Ryhmä on yhdistetty mediatalo Lee Enterprisesin hyökkäykseen, joka häiritsi useiden yhdysvaltalaisten sanomalehtien toimintaa vuonna 2025. Tarkkaa lunnassummaa ei ole julkisesti vahvistettu, joten mahdollisiin maksuväitteisiin on suhtauduttava varauksella ilman yhtiön omaa tiedotetta. CIS:n analyysin mukaan Qilin oli vuoden 2025 toisella neljänneksellä suurin kiristysuhka Yhdysvaltain osavaltio-, paikallis-, heimo- ja aluehallinnoille, joiden lyhenne on SLTT.
Julkishallinnon osalta luvut ovat huomionarvoisia. CIS raportoi, että MS-ISAC-jäsenet ilmoittivat 29 Qilin-tapausta Yhdysvaltain SLTT-sektorilla joulukuun 2023 ja kesäkuun 2025 välillä, ja 55 prosenttia näistä keskittyi vuoden 2025 toiselle neljännekselle. Qilinin osuus SLTT-hyökkäyksistä nousi 9 prosentista 24 prosenttiin kvartaalin aikana. Kun yksi ryhmä vastaa lähes neljänneksestä julkishallinnon iskuista, kyse on systeemisestä uhkasta eikä satunnaisesta rikollisuudesta.
Miksi Qilin nousi: RansomHubin ja LockBitin romahdus
Qilinin nousu ei tapahtunut sattumalta. Vuosi 2025 oli koko kiristysalalla mullistusten vuosi. Rapid7:n toisen neljänneksen analyysi laski 65 aktiivista kiristysryhmää, mikä oli 14,47 prosentin lasku edellisestä kvartaalista. Suuria nimiä katosi. LockBit oli kärsinyt viranomaisoperaatioista, ja RansomHub menetti asemansa. Kun vakiintuneet alustat horjuivat, niiden kumppanit etsivät uutta kotia. Qilin tarjosi sen.
Rapid7:n mukaan Qilin johti kenttää vuoden 2025 toisella neljänneksellä, ja Dexpose kuvaa ryhmän aktiivista kumppaniohjelmaa houkuttelevana kokeneille hyökkääjille juuri tässä murroskohdassa. Tarina kumppanien siirtymisestä RansomHubin ja LockBitin hiipumisen jälkeen on uskottava ja osittain dokumentoitu, vaikka kaikkia yksityiskohtia ei voi vahvistaa avoimista lähteistä. Joka tapauksessa ajoitus oli Qilinille täydellinen: se tarjosi parhaan jakosuhteen juuri silloin, kun parhaat kumppanit olivat työnhaussa.
Tämä dynamiikka on tärkeä ymmärtää, koska se ennustaa tulevaa. Kiristysala ei katoa, kun yksi ryhmä kaatuu. Kumppanit ja työkalut siirtyvät seuraavaan operaatioon. Viranomaisten iskut yksittäisiin brändeihin hajottavat hetkellisesti, mutta osaaminen säilyy ekosysteemissä. Qilin on tämän kierrätyksen tuore hyötyjä, ja sen tilalle voi nousta uusi nimi yhtä nopeasti.
Tekniikka: Windows, Linux ja VMware ESXi kohteena
Qilinin tekninen vahvuus on monialustaisuus. Dexpose ja Picus Security kuvaavat haittaohjelman kykenevän vaikuttamaan Windows-, Linux- ja VMware ESXi -ympäristöihin. ESXi-tuki on erityisen vaarallinen, koska se mahdollistaa kymmenien virtuaalipalvelimien salaamisen yhdellä iskulla. Yritys, joka pyörittää sataa virtuaalikonetta yhdellä ESXi-isännällä, voi menettää koko ympäristönsä hetkessä. Tämä on syy, miksi virtualisointialustojen suojaus on noussut puolustuksen keskiöön.
Hyökkäysketju noudattaa tuttua kaavaa. Alkupääsy hankitaan usein varastetuilla tunnuksilla, kalastelulla tai julkisten palvelujen haavoittuvuuksilla. Pääsyn jälkeen hyökkääjä liikkuu sivusuunnassa, kohottaa oikeuksiaan ja kerää tietoja. Vasta lopuksi salaus laukaistaan, usein varkauden jälkeen, jotta uhria voidaan painostaa kaksinkertaisesti. Picus Securityn TTP-analyysi (taktiikat, tekniikat ja menettelyt) korostaa, että Qilinin kumppanit hyödyntävät legitiimejä järjestelmätyökaluja välttääkseen havaitsemisen.
Rust-kieli antaa lisäsuojaa hyökkääjälle. Käännetty koodi on tiivistä ja vaikeasti takaisinmallinnettavaa, mikä hidastaa tietoturvatutkijoiden työtä. Samalla Rust tuottaa nopeaa salausta, mikä lyhentää aikaikkunaa, jonka aikana puolustaja voisi pysäyttää hyökkäyksen. Yhdistelmä monialustaisuudesta, nopeudesta ja analyysin vaikeudesta tekee Qilinistä teknisesti kypsän uhan, ei amatöörimäisen kokeilun.
Aktiivisimmat kiristysryhmät 2025: kilpailutilanne
Qilinin asemaa on syytä tarkastella suhteessa muihin ryhmiin. Vaikka tarkat sijoitukset vaihtelevat seurantapalvelun mukaan, kokonaiskuva on selvä: aktiivisten ryhmien määrä laski vuonna 2025, mutta hyökkäysten kokonaismäärä kasvoi. Toisin sanoen harvempi ryhmä teki enemmän iskuja. Tämä keskittyminen tarkoittaa, että muutaman suuren operaation kaataminen voisi vaikuttaa koko alaan, mutta käytännössä kumppanit ovat osoittautuneet liikkuviksi.
| Ryhmä | Asema 2025 | Tekninen pohja | Alkuperäarvio |
|---|---|---|---|
| Qilin (Agenda) | Aktiivisin, ~1 066 iskua | Rust, monialustainen | Venäjä / IVY |
| RansomHub | Romahti vuoden aikana | RaaS-alusta | Venäjänkielinen |
| LockBit | Heikkeni viranomaisiskuissa | RaaS-alusta | Venäjänkielinen |
| Akira | Yhä aktiivinen Pohjolassa | C++ / Rust | Venäjänkielinen |
| Aktiivisia ryhmiä yhteensä | 65 (Q2 2025) | Useita | Globaali |
Akira ansaitsee erillismaininnan pohjoismaisesta näkökulmasta. Sama ryhmä iski Tietoevryyn alkuvuonna 2024, ja hyökkäys häiritsi useita ruotsalaisia ja suomalaisia palveluja palkanmaksusta vähittäiskauppaan. Vaikka kyse ei ollut Qilinistä, tapaus muistuttaa, että venäjänkieliset RaaS-ryhmät ovat jo iskeneet syvälle pohjoismaiseen yhteiskuntaan. Qilinin nousu nostaa juuri tämän tyyppisen riskin todennäköisyyttä, koska aktiivisin alusta etsii jatkuvasti uusia kohteita.
Pohjoismainen ja suomalainen näkökulma
Pohjoismaiden uhkakuva on kiristynyt. DNV:n vuoden 2026 katsaus laski Suomessa 44 kyberhäiriötä vuonna 2025, Ruotsissa 60, Tanskassa 41 ja Norjassa 21. Luvut eivät koske yksin Qiliniä, mutta ne kertovat ympäristöstä, jossa kiristyshaittaohjelmat ovat jatkuva uhka. Suomessa kiristyshyökkäykset ovat moninkertaistuneet sen jälkeen, kun maa aloitti Nato-jäsenyysprosessin, ja venäjäkytkös tekee Qilinin kaltaisista ryhmistä erityisen merkityksellisiä.
Suojelupoliisi Supo on nostanut esiin valtiollisen kybervakoilun kasvun. Supon vuoden 2026 kansallisen turvallisuuden katsauksessa Venäjä ja Kiina nimettiin aktiivisiksi toimijoiksi, jotka kohdistavat operaatioita suomalaiseen hallintoon, teknologiayrityksiin ja tutkimuslaitoksiin. Vaikka kiristyshaittaohjelmat ovat rikollisuutta eivätkä suoraan valtiollista vakoilua, raja on hämärtynyt. Venäjän katveessa toimivat rikolliset ryhmät palvelevat välillisesti laajempia tavoitteita häiritsemällä länsimaiden infrastruktuuria.
Suomalaisille organisaatioille tämä tarkoittaa konkreettista valmistautumista. Sääntely-ympäristö on jo muuttunut: NIS2-direktiivi velvoittaa kriittiset toimijat raportoimaan häiriöistä 24 tunnin kuluessa, ja kyberkestävyyssäädös eli Cyber Resilience Act asettaa tuotetason vaatimuksia. Qilinin kaltainen uhka testaa, kuinka hyvin nämä velvoitteet käytännössä toimivat. Säädökset eivät estä hyökkäyksiä, mutta ne pakottavat parantamaan havainnointia ja toipumiskykyä.
Markkinavaikutus: kyberturvan kustannukset ja vakuutukset
Qilinin nousulla on suora taloudellinen vaikutus. Kun aktiivisin ryhmä tekee yli tuhat hyökkäystä vuodessa ja koko ala kasvaa 45 prosenttia, kyberturvan kysyntä kasvaa vastaavasti. Yritykset lisäävät panostuksia varmuuskopiointiin, segmentointiin ja havainnointiin. Erityisesti virtualisointialustojen suojaus on noussut prioriteetiksi, koska ESXi-iskut voivat kaataa kokonaisia konesaleja kerralla. Tämä siirtää budjetteja kohti palvelinpuolen turvaa.
Kybervakuutusmarkkina reagoi myös. Vakuutusyhtiöt tiukentavat ehtojaan ja vaativat asiakkailta perusturvan tasoa ennen korvauksia: monivaiheista tunnistautumista, testattuja varmuuskopioita ja häiriönhallintasuunnitelmia. Lunnasmaksujen korvattavuus on kiristynyt, ja osa vakuutuksista sulkee pois maksut pakotelistoilla oleville ryhmille. Koska Qilin on venäjäkytköksinen, sen lunnaiden maksaminen voi rikkoa pakotesäännöksiä, mikä tekee maksamisesta sekä laitonta että riskialtista.
Lunnaiden maksaminen on muutenkin huono strategia. Maksu ei takaa tietojen palautusta eikä estä julkaisua, ja se rahoittaa seuraavat hyökkäykset. Lisäksi kryptovaluutoissa liikkuvat lunnaat ovat osa laajempaa rikollistaloutta. Suomeksi raportoidut kryptovarkaudet ylittivät 840 miljoonaa dollaria vuonna 2026, ja kiristyshaittaohjelmat ovat merkittävä osa tätä virtaa. Maksamatta jättäminen ja varautuminen ovat sekä taloudellisesti että eettisesti kestävämpiä valintoja.
Asiantuntija-arviot Qilinin merkityksestä
Tietoturvayhtiöiden arviot ovat yhdenmukaisia siitä, että Qilin edustaa uutta vaihetta kiristysalalla. Barracudan analyysi kuvaa Qiliniä “kesäkuun 2025 aktiivisimpana kiristysuhkana” ja korostaa, että ryhmä laajensi kykyjään pelkän salauksen ulkopuolelle roskapostiin ja palvelunestoon. Yhtiön mukaan avoin kysymys on, kuinka kauan ryhmä pysyy kärjessä, sillä historia on osoittanut kärkipaikan vaihtuvan nopeasti.
Center for Internet Security painottaa julkishallinnon haavoittuvuutta. CIS:n analyysin mukaan Qilinin osuus SLTT-sektorin hyökkäyksistä yli kaksinkertaistui yhden kvartaalin aikana, mikä teki siitä “merkittävimmän kiristysuhan” osavaltio- ja paikallishallinnoille keväällä 2025. Tämä viesti on suoraan sovellettavissa Pohjoismaihin, joissa kunnat ja sairaanhoitopiirit ovat vastaavalla tavalla resurssirajoitteisia ja houkuttelevia kohteita.
Rapid7:n neljännesvuosianalyysi asettaa Qilinin osaksi laajempaa rakennemuutosta. Yhtiön mukaan vuoden 2025 toinen neljännes oli “nousun ja romahduksen” aikaa, jossa aktiivisten ryhmien määrä laski mutta kärkitoimijat vahvistuivat. Industrial Cyber puolestaan korosti Qilinin iskua kriittisille sektoreille RansomHubin sulkeutuessa. Yhteinen sävel on, että Qilin hyötyi kilpailijoiden heikkoudesta ja tarjosi kumppaneille houkuttelevimman alustan juuri oikeaan aikaan.
Historiallinen konteksti: kiristyshaittaohjelmien evoluutio
Qilin on osa pitkää kehityskaarta. Kiristyshaittaohjelmat alkoivat yksinkertaisina, yksittäisinä iskuina, joissa salaus oli ainoa painostuskeino. 2010-luvun lopulla nousi kaksoiskiristys, jossa tiedot varastettiin ennen salausta. 2020-luvun alussa RaaS-malli teollistui, ja viranomaisoperaatiot alkoivat iskeä takaisin. LockBitin ja muiden suurten brändien horjuminen vuosina 2024 ja 2025 osoitti, että jopa hallitsevat operaatiot ovat haavoittuvia.
Qilinin nousu kertoo, että ala on oppinut sopeutumaan. Kun yksi alusta kaatuu, kumppanit ja työkalut siirtyvät seuraavaan. Tämä joustavuus tekee kiristyshaittaohjelmista pysyvän ilmiön, ei ohimenevän muoti-ilmiön. Rust-kielen omaksuminen, monialustaisuus ja palvelunestokyvyt ovat kaikki merkkejä kypsymisestä. Qilin ei keksinyt näitä yksin, mutta se yhdisti ne tehokkaaksi paketiksi ja skaalasi sen ennätyksellisesti.
Historiallinen oppi on selvä: yhden ryhmän kaataminen ei ratkaise ongelmaa. Synnovisin kaltaiset iskut osoittavat, että vaikutukset ulottuvat tietotekniikan ulkopuolelle ihmishenkiin ja yhteiskunnan perustoimintoihin. Siksi puolustuksen on keskityttävä rakenteelliseen kestävyyteen yksittäisten uhkien jahtaamisen sijaan. Varmuuskopiot, segmentointi ja harjoitellut toipumissuunnitelmat suojaavat riippumatta siitä, mikä brändi on kärjessä.
Viisi ennustetta vuosille 2026 ja 2027
Qilinin nousu antaa pohjan muutamalle perustellulle ennusteelle. Nämä eivät ole varmuuksia vaan suuntaviivoja, jotka seuraavat dokumentoiduista trendeistä.
- Keskittyminen jatkuu. Aktiivisten ryhmien määrä todennäköisesti pysyy matalana mutta hyökkäysten kokonaismäärä kasvaa, koska kärkialustat skaalaavat tehokkaammin kuin pienet toimijat.
- ESXi- ja Linux-iskut lisääntyvät. Qilinin monialustaisuus näyttää suuntaa, ja virtualisointialustoista tulee entistä houkuttelevampi kohde maksimaalisen vahingon vuoksi.
- Pohjoismaat pysyvät kohteena. Venäjäkytköksiset ryhmät jatkavat iskuja kriittiseen infrastruktuuriin Suomessa ja naapurimaissa, ja sääntely pakottaa raportoimaan niistä avoimemmin.
- Lunnasmaksut vähenevät, mutta vahingot kasvavat. Pakotteet ja vakuutusehdot vähentävät maksuja, mutta toiminnan keskeytyksistä ja palautuksesta aiheutuvat kustannukset nousevat.
- Qilin ei pysy kärjessä ikuisesti. Historia viittaa siihen, että viranomaisiskut tai sisäiset riidat voivat hajottaa ryhmän, jolloin kumppanit siirtyvät seuraavaan brändiin yhtä nopeasti kuin nousivat Qiliniin.
Näin suojaudut Qilinin kaltaisilta hyökkäyksiltä
Puolustus ei vaadi taikatemppuja vaan perusasioiden kurinalaista toteutusta. Tärkein yksittäinen toimenpide on toimivat ja testatut varmuuskopiot, jotka on eristetty verkosta niin, ettei kiristyshaittaohjelma pääse salaamaan niitä. Offline-kopio tai muuttumaton tallennus ratkaisee, palautuuko organisaatio päivissä vai viikoissa. Varmuuskopiot on myös palautusharjoiteltava säännöllisesti, koska kopio, jota ei ole testattu, ei ole varmuuskopio.
Alkupääsyn estäminen on toinen tukipilari. Monivaiheinen tunnistautuminen kaikilla etäyhteyksillä ja hallintaliittymillä katkaisee yleisimmän hyökkäysreitin, varastetut tunnukset. Julkisten palvelujen haavoittuvuudet on paikattava nopeasti, ja verkon segmentointi rajoittaa hyökkääjän liikkumista, jos murto tapahtuu. ESXi- ja Linux-palvelimet on suojattava yhtä huolellisesti kuin työasemat, koska niihin kohdistuva isku tuottaa suurimman vahingon.
Kolmas pilari on valmius. Häiriönhallintasuunnitelma, joka on harjoiteltu etukäteen, lyhentää reaktioaikaa ratkaisevasti. Suunnitelmaan kuuluvat selkeät vastuut, yhteystiedot viranomaisiin ja päätös siitä, ettei lunnaita makseta. Lokien keskitetty kerääminen ja havainnointi auttavat huomaamaan sivuttaisliikkeen ennen salausvaihetta. Kun nämä kolme pilaria, varmuuskopiot, pääsynhallinta ja valmius, ovat kunnossa, Qilinin kaltainen isku jää hallittavaksi häiriöksi katastrofin sijaan.
Usein kysytyt kysymykset
Mikä Qilin-kiristyshaittaohjelma on?
Qilin, joka tunnetaan myös nimellä Agenda, on venäjäkytköksinen Ransomware-as-a-Service-operaatio. Se vuokraa haittaohjelmansa kumppaneille, jotka tekevät murrot, ja jakaa lunnaat näiden kanssa. Picus Securityn mukaan ryhmä siirtyi alkuperäisestä Go-kielisestä koodista Rust-pohjaiseen versioon, joka toimii Windowsissa, Linuxissa ja VMware ESXi -ympäristöissä.
Kuinka monta hyökkäystä Qilin teki vuonna 2025?
The Cannata Report laski Qilinille 1 066 hyökkäystä koko vuonna 2025, mikä oli 408 prosentin kasvu vuoteen 2024 verrattuna. Industrial Cyber yhdisti ryhmään 926 hyökkäystä, joista 168 oli vahvistettu. Erot johtuvat seurantapalvelujen laskutavoista, mutta kaikki lähteet asettavat Qilinin vuoden aktiivisimpiin ryhmiin.
Onko Qilin uhka Suomelle ja Pohjoismaille?
Kyllä. Qilinin venäjäkytkös ja sen iskut kriittiseen infrastruktuuriin tekevät siitä merkityksellisen Pohjoismaille. DNV:n mukaan Suomessa kirjattiin 44 kyberhäiriötä vuonna 2025. Venäjänkieliset RaaS-ryhmät, kuten Akira Tietoevry-iskussaan, ovat jo häirinneet pohjoismaisia palveluja, ja Qilinin nousu lisää riskiä.
Kannattaako lunnaita maksaa?
Ei. Maksu ei takaa tietojen palautusta eikä estä niiden julkaisua, ja se rahoittaa seuraavat hyökkäykset. Koska Qilin on venäjäkytköksinen, lunnaiden maksaminen voi myös rikkoa pakotesäännöksiä. Testatut varmuuskopiot ja harjoiteltu häiriönhallinta ovat sekä turvallisempi että halvempi vaihtoehto pitkällä aikavälillä.
Miksi Qilin nousi juuri vuonna 2025?
Qilin hyötyi kilpailijoidensa romahduksesta. LockBit kärsi viranomaisoperaatioista ja RansomHub menetti asemansa, jolloin niiden kumppanit etsivät uutta alustaa. Qilin tarjosi alan korkeimpia jakosuhteita, jopa 85 prosenttia lunnaista kumppaneille, mikä houkutteli kokeneita hyökkääjiä juuri oikeaan aikaan.
Mikä oli Qilinin tunnetuin hyökkäys?
Picus Securityn mukaan Qilin hyökkäsi vuonna 2024 laboratoriopalveluyhtiö Synnovisiin ja vaati 50 miljoonan dollarin lunnaita. Hyökkäys halvaannutti useiden NHS-sairaaloiden toiminnan Lontoossa, lykkäsi leikkauksia ja häiritsi näytteiden käsittelyä. Tapaus on yhä laajalti viitattu esimerkki kiristyshaittaohjelmien yhteiskunnallisista vaikutuksista.
Related Coverage
- Pohjoismaiden kyberuhat: 44 häiriötä Suomessa [2026]
- NIS2 Suomessa: 24 tunnin ilmoitus, 10 M€ sakot [2026]
- Cyber Resilience Act: 15 M€ sakot [2026]
- Kryptovarkaudet 2026: 840 M$ varastettu [2026]
- Supo: kybervakoilu ja 3 katkennutta merikaapelia [2026]
- Tietomurrot: miten ne tapahtuvat ja miten suojaudut
- Verkkoturvallisuus: opas digitaalisen elämän suojaamiseen
Lähteet ja lisälukemista
- Center for Internet Security: Qilin SLTT-uhkana Q2 2025
- Fortinet: kiristyshaittaohjelmatilastot
- Barracuda: Qilinin kasvu 2025
- Rapid7: Q2 2025 kiristystrendit
- Bitsight: kiristyshaittaohjelmatilastot 2026
- ENISA: Euroopan kyberturvallisuusvirasto
Tämä artikkeli on uutisanalyysi ja perustuu julkisiin lähteisiin, jotka on nimetty tekstissä. Luvut vastaavat raportointia kesäkuussa 2026, ja kiristyshaittaohjelmien tilanne muuttuu nopeasti.
