{"id":86,"date":"2026-06-15T04:53:23","date_gmt":"2026-06-15T04:53:23","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/15\/qilin-ransomware-1066-iskua-2026\/"},"modified":"2026-06-15T12:40:45","modified_gmt":"2026-06-15T12:40:45","slug":"qilin-ransomware-1066-iskua-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/qilin-ransomware-1066-iskua-2026\/","title":{"rendered":"Qilin: 1 066 kiristysiskua, 408 % kasvu [2026]"},"content":{"rendered":"\n

Qilin nousi vuoden 2025 aikana maailman aktiivisimmaksi kiristyshaittaohjelmaksi, ja vauhti jatkui vuoden 2026 puolelle. Eri seurantapalvelut laskivat ryhm\u00e4lle yli tuhat hy\u00f6kk\u00e4yst\u00e4 yhden vuoden aikana, ja kasvuluvut ylittiv\u00e4t 400 prosenttia edellisvuoteen verrattuna. Ven\u00e4j\u00e4\u00e4n kytketty operaatio iski sairaaloihin, mediataloihin ja julkishallintoon, ja sen palvelumalli houkutteli kumppaneita, jotka j\u00e4iv\u00e4t vaille ty\u00f6nantajaa muiden ryhmien romahdettua. T\u00e4m\u00e4 analyysi k\u00e4y l\u00e4pi numerot, tekniikan, markkinavaikutuksen ja sen, mit\u00e4 Qilinin nousu tarkoittaa Suomelle ja Pohjoismaille.<\/p>\n\n\n\n

Julkaistu 15. kes\u00e4kuuta 2026. Kaikki luvut perustuvat vuosien 2025 ja 2026 julkaistuihin l\u00e4hteisiin, jotka on nimetty tekstiss\u00e4.<\/em><\/p>\n\n\n\n

Qilin nousi vuoden 2026 hallitsevaksi kiristysuhkaksi<\/h2>\n\n\n\n

Kiristyshaittaohjelmien maailma j\u00e4rjestyi uudelleen alle vuodessa. Qilin, jota kutsutaan my\u00f6s nimell\u00e4 Agenda, siirtyi marginaalista listojen k\u00e4rkeen. Fortinetin koostamien tilastojen mukaan Qilinist\u00e4 tuli aktiivisin kiristysryhm\u00e4 jo kes\u00e4kuussa 2025, jolloin se toteutti 81 hy\u00f6kk\u00e4yst\u00e4 yhden kuukauden aikana. Se oli 47,3 prosentin nousu edelliseen kuukauteen, ja se merkitsi k\u00e4\u00e4nnekohtaa koko alalla.<\/p>\n\n\n\n

Nousu ei ollut hetkellinen piikki. Bitsightin kes\u00e4kuun 2026 koonti arvioi Qilinin tehneen noin 1 448 hy\u00f6kk\u00e4yst\u00e4 edelt\u00e4neen 12 kuukauden aikana, mik\u00e4 piti ryhm\u00e4n listan k\u00e4rjess\u00e4 my\u00f6s alkuvuonna 2026. The Cannata Report puolestaan laski Qilinille 1 066 tapausta koko vuonna 2025, mik\u00e4 oli 408 prosentin kasvu vuoteen 2024 verrattuna. Luvut eroavat toisistaan, koska seurantapalvelut k\u00e4ytt\u00e4v\u00e4t eri laskutapoja, mutta ne osoittavat saman suunnan: Qilin oli kiristyshaittaohjelmien ehdoton voittaja.<\/p>\n\n\n\n

Kiristyshaittaohjelma (englanniksi ransomware) tarkoittaa haittaohjelmaa, joka salaa uhrin tiedostot ja vaatii lunnaita salausavaimesta. Qilin toimii palvelumallilla, jossa ydinryhm\u00e4 kehitt\u00e4\u00e4 ty\u00f6kalut ja kumppanit suorittavat varsinaiset murrot. T\u00e4m\u00e4 rakenne selitt\u00e4\u00e4, miksi yksi nimi pystyi tuottamaan yli tuhat hy\u00f6kk\u00e4yst\u00e4 vuodessa. Qilin ei ole yksitt\u00e4inen jengi vaan alusta, jolla kymmenet hy\u00f6kk\u00e4\u00e4j\u00e4t tekev\u00e4t t\u00f6it\u00e4 samalla br\u00e4ndill\u00e4.<\/p>\n\n\n\n

Mik\u00e4 Qilin on: Agendasta Rust-pohjaiseen koneeseen<\/h2>\n\n\n\n

Qilin ilmestyi ensimm\u00e4isen kerran nimell\u00e4 Agenda vuonna 2022. Picus Securityn analyysin mukaan alkuper\u00e4inen Agenda kirjoitettiin Go-kielell\u00e4, mutta ryhm\u00e4 siirtyi my\u00f6hemmin Rust-pohjaiseen versioon. Vaihto ei ollut kosmeettinen. Rust-kielell\u00e4 k\u00e4\u00e4nnetty haittaohjelma on vaikeampi analysoida ja torjua, ja se k\u00e4\u00e4ntyy tehokkaasti useille k\u00e4ytt\u00f6j\u00e4rjestelmille. Sama koodipohja toimii Windowsissa, Linuxissa ja VMware ESXi -virtualisointialustalla, mik\u00e4 laajentaa mahdollisten kohteiden kirjoa palvelinkeskuksiin asti.<\/p>\n\n\n\n

Ryhm\u00e4n alkuper\u00e4\u00e4 pidet\u00e4\u00e4n ven\u00e4l\u00e4isen\u00e4 tai laajemmin IVY-maihin kytkeytyv\u00e4n\u00e4. Barracudan hein\u00e4kuun 2025 analyysi toteaa, ett\u00e4 todisteet viittaavat tukikohtaan Ven\u00e4j\u00e4ll\u00e4 tai jossakin toisessa IVY-maassa, mutta ydinoperaattoreiden tarkka sijainti on vahvistamatta. T\u00e4m\u00e4 on tyypillist\u00e4 kiristysoperaatioille, jotka toimivat valtioiden katveessa ja v\u00e4ltt\u00e4v\u00e4t hy\u00f6kk\u00e4yksi\u00e4 entisen Neuvostoliiton alueelle. Ven\u00e4j\u00e4kytk\u00f6s tekee Qilinist\u00e4 erityisen merkityksellisen Suomelle ja Pohjoismaille, joiden uhkakuva on muuttunut Naton laajentumisen ja Ukrainan sodan my\u00f6t\u00e4.<\/p>\n\n\n\n

Qilin on lis\u00e4nnyt arsenaaliinsa my\u00f6s muuta kuin tiedostojen salausta. Barracudan mukaan ryhm\u00e4 otti vuoden 2025 aikana k\u00e4ytt\u00f6\u00f6n roskapostikampanjoita, palvelunestohy\u00f6kk\u00e4ysten kykyj\u00e4 ja automatisoituja ty\u00f6kaluja. T\u00e4m\u00e4 kaksoiskiristyksen ja kolmoiskiristyksen logiikka tarkoittaa, ett\u00e4 uhria painostetaan samanaikaisesti salauksella, varastettujen tietojen julkaisu-uhalla ja palvelujen kaatamisella. Mallista on tullut alan vakiok\u00e4yt\u00e4nt\u00f6, ja Qilin on vienyt sen pitk\u00e4lle.<\/p>\n\n\n\n

Numerot: 1 066 hy\u00f6kk\u00e4yst\u00e4 ja 408 prosentin kasvu<\/h2>\n\n\n\n

Qilinin kasvuk\u00e4yr\u00e4 on jyrkk\u00e4 riippumatta siit\u00e4, mik\u00e4 l\u00e4hde valitaan. Industrial Cyberin lokakuun 2025 raportti kuvaa nousua, jossa hy\u00f6kk\u00e4ysv\u00e4itteet kasvoivat 280 prosenttia: huhtikuun 2025 lopun 185 tapauksesta 701 tapaukseen my\u00f6hemmin samana vuonna. Sama raportti yhdist\u00e4\u00e4 Qiliniin yhteens\u00e4 926 hy\u00f6kk\u00e4yst\u00e4, joista 168 oli vahvistettu, ja vahvistetuissa tapauksissa oli vuotanut 2 302 433 tietuetta. Luvut antavat kuvan operaation laajuudesta: kyse ei ole yksitt\u00e4isist\u00e4 iskuista vaan teollisesta mittakaavasta.<\/p>\n\n\n\n

Alla oleva taulukko kokoaa Qilinin keskeiset luvut eri seurantapalvelujen mukaan. Erot johtuvat laskutavoista: osa laskee vain vahvistetut uhrit, osa kaikki v\u00e4itetyt hy\u00f6kk\u00e4ykset ja osa eri aikajaksoilta.<\/p>\n\n\n\n

Mittari<\/th>Luku<\/th>Ajanjakso<\/th>L\u00e4hde<\/th><\/tr><\/thead>
Hy\u00f6kk\u00e4yksi\u00e4 yhteens\u00e4<\/td>1 066<\/td>Koko vuosi 2025<\/td>The Cannata Report<\/td><\/tr>
Kasvu edellisvuoteen<\/td>+408 %<\/td>2024 vs 2025<\/td>The Cannata Report<\/td><\/tr>
Hy\u00f6kk\u00e4yksi\u00e4 yhden kuukauden aikana<\/td>81<\/td>Kes\u00e4kuu 2025<\/td>Fortinet \/ Cyfirma<\/td><\/tr>
Kuukausikasvu<\/td>+47,3 %<\/td>Kes\u00e4kuu 2025<\/td>Fortinet \/ Cyfirma<\/td><\/tr>
Hy\u00f6kk\u00e4ysv\u00e4itteiden kasvu<\/td>+280 %<\/td>Huhti\u2013loppuvuosi 2025<\/td>Industrial Cyber<\/td><\/tr>
Yhdistettyj\u00e4 hy\u00f6kk\u00e4yksi\u00e4<\/td>926 (168 vahvistettu)<\/td>2025<\/td>Industrial Cyber<\/td><\/tr>
Vuotaneita tietueita<\/td>2 302 433<\/td>2025<\/td>Industrial Cyber<\/td><\/tr>
Arvioituja hy\u00f6kk\u00e4yksi\u00e4<\/td>~1 448<\/td>12 kk kes\u00e4kuuhun 2026<\/td>Bitsight<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Kokonaiskuvaa t\u00e4ydent\u00e4\u00e4 alan yleinen kehitys. The Cannata Report arvioi kiristyshaittaohjelmahy\u00f6kk\u00e4ysten kasvaneen 45 prosenttia vuonna 2025. Qilin ei siis noussut tyhji\u00f6ss\u00e4 vaan kasvavilla markkinoilla, mutta se kasvoi selv\u00e4sti nopeammin kuin ala keskim\u00e4\u00e4rin. Kun koko toimiala kasvoi 45 prosenttia, Qilin kasvoi yli 400 prosenttia. Ero kertoo, ett\u00e4 ryhm\u00e4 otti markkinaosuutta kilpailijoiltaan. Juuri t\u00e4m\u00e4 keskittyminen tekee Qilinist\u00e4 erityisen t\u00e4rke\u00e4n seurattavan.<\/p>\n\n\n\n

RaaS-malli: miksi 85 prosentin osuus houkuttelee<\/h2>\n\n\n\n

Qilinin menestyksen ydin on sen liiketoimintamalli. Ransomware-as-a-Service eli RaaS tarkoittaa, ett\u00e4 ryhm\u00e4 vuokraa haittaohjelmansa ja infrastruktuurinsa kumppaneille, jotka tekev\u00e4t murrot. Center for Internet Securityn (CIS) mukaan Qilinin kumppanit pit\u00e4v\u00e4t 80\u201385 prosenttia lunnaista, ja ydinjohto ottaa 15\u201320 prosenttia. Dexpose-tietoturvayhti\u00f6n analyysi puhuu jopa 85 prosentin kumppaniosuudesta. T\u00e4m\u00e4 on alan korkeimpia jakosuhteita, ja se selitt\u00e4\u00e4 suoraan, miksi kokeneet hy\u00f6kk\u00e4\u00e4j\u00e4t siirtyiv\u00e4t Qilinin alle.<\/p>\n\n\n\n

Malli muistuttaa laillista franchising-toimintaa. Ydinryhm\u00e4 huolehtii kehityksest\u00e4, neuvotteluinfrastruktuurista ja vuotosivustosta, kun taas kumppanit tuovat p\u00e4\u00e4syn kohdeverkkoihin. Mit\u00e4 houkuttelevampi jakosuhde, sit\u00e4 parempia kumppaneita alusta vet\u00e4\u00e4 puoleensa. Korkea osuus on Qilinin kilpailuvaltti samalla tavalla kuin palkka houkuttelee osaajia ty\u00f6markkinoilla. Kun kilpailevat operaatiot kaatuivat tai menettiv\u00e4t luottamuksen, Qilin tarjosi vakaan ja tuottoisan vaihtoehdon.<\/p>\n\n\n\n

RaaS-mallin seuraus on, ett\u00e4 hy\u00f6kk\u00e4ysten tyyli vaihtelee. Sama Qilin-br\u00e4ndi voi n\u00e4ky\u00e4 hyvin erilaisina murtoina, koska eri kumppanit k\u00e4ytt\u00e4v\u00e4t eri tekniikoita alkup\u00e4\u00e4syyn. T\u00e4m\u00e4 vaikeuttaa puolustajien ty\u00f6t\u00e4, koska yht\u00e4 ainoaa allekirjoitusta ei ole. Picus Security ja Dexpose kuvaavat Qilini\u00e4 juuri t\u00e4llaisena alustana, jossa ydinoperaattorit py\u00f6ritt\u00e4v\u00e4t vuoto- ja maksuinfrastruktuuria ja kumppanit suorittavat tunkeutumiset.<\/p>\n\n\n\n

Kohteet: NHS, Synnovis ja kriittinen infrastruktuuri<\/h2>\n\n\n\n

Qilinin tunnetuin isku osui Lontoon terveydenhuoltoon. Picus Securityn mukaan ryhm\u00e4 hy\u00f6kk\u00e4si vuonna 2024 laboratoriopalveluyhti\u00f6 Synnovisiin ja vaati 50 miljoonan dollarin lunnaita. Hy\u00f6kk\u00e4ys halvaannutti useiden NHS-sairaaloiden toiminnan Lontoossa, lykk\u00e4si leikkauksia ja h\u00e4iritsi verikokeiden k\u00e4sittely\u00e4. Tapaus osoitti, ett\u00e4 kiristyshaittaohjelma ei ole vain tietotekninen ongelma vaan potilasturvallisuuden kysymys. Se on yh\u00e4 laajalti viitattu esimerkki vuosien 2025 ja 2026 raportoinnissa.<\/p>\n\n\n\n

Qilin ei ole rajoittunut terveydenhuoltoon. Ryhm\u00e4 on yhdistetty mediatalo Lee Enterprisesin hy\u00f6kk\u00e4ykseen, joka h\u00e4iritsi useiden yhdysvaltalaisten sanomalehtien toimintaa vuonna 2025. Tarkkaa lunnassummaa ei ole julkisesti vahvistettu, joten mahdollisiin maksuv\u00e4itteisiin on suhtauduttava varauksella ilman yhti\u00f6n omaa tiedotetta. CIS:n analyysin mukaan Qilin oli vuoden 2025 toisella nelj\u00e4nneksell\u00e4 suurin kiristysuhka Yhdysvaltain osavaltio-, paikallis-, heimo- ja aluehallinnoille, joiden lyhenne on SLTT.<\/p>\n\n\n\n

Julkishallinnon osalta luvut ovat huomionarvoisia. CIS raportoi, ett\u00e4 MS-ISAC-j\u00e4senet ilmoittivat 29 Qilin-tapausta Yhdysvaltain SLTT-sektorilla joulukuun 2023 ja kes\u00e4kuun 2025 v\u00e4lill\u00e4, ja 55 prosenttia n\u00e4ist\u00e4 keskittyi vuoden 2025 toiselle nelj\u00e4nnekselle. Qilinin osuus SLTT-hy\u00f6kk\u00e4yksist\u00e4 nousi 9 prosentista 24 prosenttiin kvartaalin aikana. Kun yksi ryhm\u00e4 vastaa l\u00e4hes nelj\u00e4nneksest\u00e4 julkishallinnon iskuista, kyse on systeemisest\u00e4 uhkasta eik\u00e4 satunnaisesta rikollisuudesta.<\/p>\n\n\n\n

Miksi Qilin nousi: RansomHubin ja LockBitin romahdus<\/h2>\n\n\n\n

Qilinin nousu ei tapahtunut sattumalta. Vuosi 2025 oli koko kiristysalalla mullistusten vuosi. Rapid7:n toisen nelj\u00e4nneksen analyysi laski 65 aktiivista kiristysryhm\u00e4\u00e4, mik\u00e4 oli 14,47 prosentin lasku edellisest\u00e4 kvartaalista. Suuria nimi\u00e4 katosi. LockBit oli k\u00e4rsinyt viranomaisoperaatioista, ja RansomHub menetti asemansa. Kun vakiintuneet alustat horjuivat, niiden kumppanit etsiv\u00e4t uutta kotia. Qilin tarjosi sen.<\/p>\n\n\n\n

Rapid7:n mukaan Qilin johti kentt\u00e4\u00e4 vuoden 2025 toisella nelj\u00e4nneksell\u00e4, ja Dexpose kuvaa ryhm\u00e4n aktiivista kumppaniohjelmaa houkuttelevana kokeneille hy\u00f6kk\u00e4\u00e4jille juuri t\u00e4ss\u00e4 murroskohdassa. Tarina kumppanien siirtymisest\u00e4 RansomHubin ja LockBitin hiipumisen j\u00e4lkeen on uskottava ja osittain dokumentoitu, vaikka kaikkia yksityiskohtia ei voi vahvistaa avoimista l\u00e4hteist\u00e4. Joka tapauksessa ajoitus oli Qilinille t\u00e4ydellinen: se tarjosi parhaan jakosuhteen juuri silloin, kun parhaat kumppanit olivat ty\u00f6nhaussa.<\/p>\n\n\n\n

T\u00e4m\u00e4 dynamiikka on t\u00e4rke\u00e4 ymm\u00e4rt\u00e4\u00e4, koska se ennustaa tulevaa. Kiristysala ei katoa, kun yksi ryhm\u00e4 kaatuu. Kumppanit ja ty\u00f6kalut siirtyv\u00e4t seuraavaan operaatioon. Viranomaisten iskut yksitt\u00e4isiin br\u00e4ndeihin hajottavat hetkellisesti, mutta osaaminen s\u00e4ilyy ekosysteemiss\u00e4. Qilin on t\u00e4m\u00e4n kierr\u00e4tyksen tuore hy\u00f6tyj\u00e4, ja sen tilalle voi nousta uusi nimi yht\u00e4 nopeasti.<\/p>\n\n\n\n

Tekniikka: Windows, Linux ja VMware ESXi kohteena<\/h2>\n\n\n\n

Qilinin tekninen vahvuus on monialustaisuus. Dexpose ja Picus Security kuvaavat haittaohjelman kykenev\u00e4n vaikuttamaan Windows-, Linux- ja VMware ESXi -ymp\u00e4rist\u00f6ihin. ESXi-tuki on erityisen vaarallinen, koska se mahdollistaa kymmenien virtuaalipalvelimien salaamisen yhdell\u00e4 iskulla. Yritys, joka py\u00f6ritt\u00e4\u00e4 sataa virtuaalikonetta yhdell\u00e4 ESXi-is\u00e4nn\u00e4ll\u00e4, voi menett\u00e4\u00e4 koko ymp\u00e4rist\u00f6ns\u00e4 hetkess\u00e4. T\u00e4m\u00e4 on syy, miksi virtualisointialustojen suojaus on noussut puolustuksen keski\u00f6\u00f6n.<\/p>\n\n\n\n

Hy\u00f6kk\u00e4ysketju noudattaa tuttua kaavaa. Alkup\u00e4\u00e4sy hankitaan usein varastetuilla tunnuksilla, kalastelulla tai julkisten palvelujen haavoittuvuuksilla. P\u00e4\u00e4syn j\u00e4lkeen hy\u00f6kk\u00e4\u00e4j\u00e4 liikkuu sivusuunnassa, kohottaa oikeuksiaan ja ker\u00e4\u00e4 tietoja. Vasta lopuksi salaus laukaistaan, usein varkauden j\u00e4lkeen, jotta uhria voidaan painostaa kaksinkertaisesti. Picus Securityn TTP-analyysi (taktiikat, tekniikat ja menettelyt) korostaa, ett\u00e4 Qilinin kumppanit hy\u00f6dynt\u00e4v\u00e4t legitiimej\u00e4 j\u00e4rjestelm\u00e4ty\u00f6kaluja v\u00e4ltt\u00e4\u00e4kseen havaitsemisen.<\/p>\n\n\n\n

Rust-kieli antaa lis\u00e4suojaa hy\u00f6kk\u00e4\u00e4j\u00e4lle. K\u00e4\u00e4nnetty koodi on tiivist\u00e4 ja vaikeasti takaisinmallinnettavaa, mik\u00e4 hidastaa tietoturvatutkijoiden ty\u00f6t\u00e4. Samalla Rust tuottaa nopeaa salausta, mik\u00e4 lyhent\u00e4\u00e4 aikaikkunaa, jonka aikana puolustaja voisi pys\u00e4ytt\u00e4\u00e4 hy\u00f6kk\u00e4yksen. Yhdistelm\u00e4 monialustaisuudesta, nopeudesta ja analyysin vaikeudesta tekee Qilinist\u00e4 teknisesti kyps\u00e4n uhan, ei amat\u00f6\u00f6rim\u00e4isen kokeilun.<\/p>\n\n\n\n

Aktiivisimmat kiristysryhm\u00e4t 2025: kilpailutilanne<\/h2>\n\n\n\n

Qilinin asemaa on syyt\u00e4 tarkastella suhteessa muihin ryhmiin. Vaikka tarkat sijoitukset vaihtelevat seurantapalvelun mukaan, kokonaiskuva on selv\u00e4: aktiivisten ryhmien m\u00e4\u00e4r\u00e4 laski vuonna 2025, mutta hy\u00f6kk\u00e4ysten kokonaism\u00e4\u00e4r\u00e4 kasvoi. Toisin sanoen harvempi ryhm\u00e4 teki enemm\u00e4n iskuja. T\u00e4m\u00e4 keskittyminen tarkoittaa, ett\u00e4 muutaman suuren operaation kaataminen voisi vaikuttaa koko alaan, mutta k\u00e4yt\u00e4nn\u00f6ss\u00e4 kumppanit ovat osoittautuneet liikkuviksi.<\/p>\n\n\n\n

Ryhm\u00e4<\/th>Asema 2025<\/th>Tekninen pohja<\/th>Alkuper\u00e4arvio<\/th><\/tr><\/thead>
Qilin (Agenda)<\/td>Aktiivisin, ~1 066 iskua<\/td>Rust, monialustainen<\/td>Ven\u00e4j\u00e4 \/ IVY<\/td><\/tr>
RansomHub<\/td>Romahti vuoden aikana<\/td>RaaS-alusta<\/td>Ven\u00e4j\u00e4nkielinen<\/td><\/tr>
LockBit<\/td>Heikkeni viranomaisiskuissa<\/td>RaaS-alusta<\/td>Ven\u00e4j\u00e4nkielinen<\/td><\/tr>
Akira<\/td>Yh\u00e4 aktiivinen Pohjolassa<\/td>C++ \/ Rust<\/td>Ven\u00e4j\u00e4nkielinen<\/td><\/tr>
Aktiivisia ryhmi\u00e4 yhteens\u00e4<\/td>65 (Q2 2025)<\/td>Useita<\/td>Globaali<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Akira ansaitsee erillismaininnan pohjoismaisesta n\u00e4k\u00f6kulmasta. Sama ryhm\u00e4 iski Tietoevryyn alkuvuonna 2024, ja hy\u00f6kk\u00e4ys h\u00e4iritsi useita ruotsalaisia ja suomalaisia palveluja palkanmaksusta v\u00e4hitt\u00e4iskauppaan. Vaikka kyse ei ollut Qilinist\u00e4, tapaus muistuttaa, ett\u00e4 ven\u00e4j\u00e4nkieliset RaaS-ryhm\u00e4t ovat jo iskeneet syv\u00e4lle pohjoismaiseen yhteiskuntaan. Qilinin nousu nostaa juuri t\u00e4m\u00e4n tyyppisen riskin todenn\u00e4k\u00f6isyytt\u00e4, koska aktiivisin alusta etsii jatkuvasti uusia kohteita.<\/p>\n\n\n\n

Pohjoismainen ja suomalainen n\u00e4k\u00f6kulma<\/h2>\n\n\n\n

Pohjoismaiden uhkakuva on kiristynyt. DNV:n vuoden 2026 katsaus laski Suomessa 44 kyberh\u00e4iri\u00f6t\u00e4 vuonna 2025, Ruotsissa 60, Tanskassa 41 ja Norjassa 21. Luvut eiv\u00e4t koske yksin Qilini\u00e4, mutta ne kertovat ymp\u00e4rist\u00f6st\u00e4, jossa kiristyshaittaohjelmat ovat jatkuva uhka. Suomessa kiristyshy\u00f6kk\u00e4ykset ovat moninkertaistuneet sen j\u00e4lkeen, kun maa aloitti Nato-j\u00e4senyysprosessin, ja ven\u00e4j\u00e4kytk\u00f6s tekee Qilinin kaltaisista ryhmist\u00e4 erityisen merkityksellisi\u00e4.<\/p>\n\n\n\n

Suojelupoliisi Supo on nostanut esiin valtiollisen kybervakoilun kasvun. Supon vuoden 2026 kansallisen turvallisuuden katsauksessa Ven\u00e4j\u00e4 ja Kiina nimettiin aktiivisiksi toimijoiksi, jotka kohdistavat operaatioita suomalaiseen hallintoon, teknologiayrityksiin ja tutkimuslaitoksiin. Vaikka kiristyshaittaohjelmat ovat rikollisuutta eiv\u00e4tk\u00e4 suoraan valtiollista vakoilua, raja on h\u00e4m\u00e4rtynyt. Ven\u00e4j\u00e4n katveessa toimivat rikolliset ryhm\u00e4t palvelevat v\u00e4lillisesti laajempia tavoitteita h\u00e4iritsem\u00e4ll\u00e4 l\u00e4nsimaiden infrastruktuuria.<\/p>\n\n\n\n

Suomalaisille organisaatioille t\u00e4m\u00e4 tarkoittaa konkreettista valmistautumista. S\u00e4\u00e4ntely-ymp\u00e4rist\u00f6 on jo muuttunut: NIS2-direktiivi velvoittaa kriittiset toimijat raportoimaan h\u00e4iri\u00f6ist\u00e4 24 tunnin kuluessa, ja kyberkest\u00e4vyyss\u00e4\u00e4d\u00f6s eli Cyber Resilience Act asettaa tuotetason vaatimuksia. Qilinin kaltainen uhka testaa, kuinka hyvin n\u00e4m\u00e4 velvoitteet k\u00e4yt\u00e4nn\u00f6ss\u00e4 toimivat. S\u00e4\u00e4d\u00f6kset eiv\u00e4t est\u00e4 hy\u00f6kk\u00e4yksi\u00e4, mutta ne pakottavat parantamaan havainnointia ja toipumiskyky\u00e4.<\/p>\n\n\n\n

Markkinavaikutus: kyberturvan kustannukset ja vakuutukset<\/h2>\n\n\n\n

Qilinin nousulla on suora taloudellinen vaikutus. Kun aktiivisin ryhm\u00e4 tekee yli tuhat hy\u00f6kk\u00e4yst\u00e4 vuodessa ja koko ala kasvaa 45 prosenttia, kyberturvan kysynt\u00e4 kasvaa vastaavasti. Yritykset lis\u00e4\u00e4v\u00e4t panostuksia varmuuskopiointiin, segmentointiin ja havainnointiin. Erityisesti virtualisointialustojen suojaus on noussut prioriteetiksi, koska ESXi-iskut voivat kaataa kokonaisia konesaleja kerralla. T\u00e4m\u00e4 siirt\u00e4\u00e4 budjetteja kohti palvelinpuolen turvaa.<\/p>\n\n\n\n

Kybervakuutusmarkkina reagoi my\u00f6s. Vakuutusyhti\u00f6t tiukentavat ehtojaan ja vaativat asiakkailta perusturvan tasoa ennen korvauksia: monivaiheista tunnistautumista, testattuja varmuuskopioita ja h\u00e4iri\u00f6nhallintasuunnitelmia. Lunnasmaksujen korvattavuus on kiristynyt, ja osa vakuutuksista sulkee pois maksut pakotelistoilla oleville ryhmille. Koska Qilin on ven\u00e4j\u00e4kytk\u00f6ksinen, sen lunnaiden maksaminen voi rikkoa pakotes\u00e4\u00e4nn\u00f6ksi\u00e4, mik\u00e4 tekee maksamisesta sek\u00e4 laitonta ett\u00e4 riskialtista.<\/p>\n\n\n\n

Lunnaiden maksaminen on muutenkin huono strategia. Maksu ei takaa tietojen palautusta eik\u00e4 est\u00e4 julkaisua, ja se rahoittaa seuraavat hy\u00f6kk\u00e4ykset. Lis\u00e4ksi kryptovaluutoissa liikkuvat lunnaat ovat osa laajempaa rikollistaloutta. Suomeksi raportoidut kryptovarkaudet ylittiv\u00e4t 840 miljoonaa dollaria vuonna 2026, ja kiristyshaittaohjelmat ovat merkitt\u00e4v\u00e4 osa t\u00e4t\u00e4 virtaa. Maksamatta j\u00e4tt\u00e4minen ja varautuminen ovat sek\u00e4 taloudellisesti ett\u00e4 eettisesti kest\u00e4v\u00e4mpi\u00e4 valintoja.<\/p>\n\n\n\n

Asiantuntija-arviot Qilinin merkityksest\u00e4<\/h2>\n\n\n\n

Tietoturvayhti\u00f6iden arviot ovat yhdenmukaisia siit\u00e4, ett\u00e4 Qilin edustaa uutta vaihetta kiristysalalla. Barracudan analyysi kuvaa Qilini\u00e4 “kes\u00e4kuun 2025 aktiivisimpana kiristysuhkana” ja korostaa, ett\u00e4 ryhm\u00e4 laajensi kykyj\u00e4\u00e4n pelk\u00e4n salauksen ulkopuolelle roskapostiin ja palvelunestoon. Yhti\u00f6n mukaan avoin kysymys on, kuinka kauan ryhm\u00e4 pysyy k\u00e4rjess\u00e4, sill\u00e4 historia on osoittanut k\u00e4rkipaikan vaihtuvan nopeasti.<\/p>\n\n\n\n

Center for Internet Security painottaa julkishallinnon haavoittuvuutta. CIS:n analyysin mukaan Qilinin osuus SLTT-sektorin hy\u00f6kk\u00e4yksist\u00e4 yli kaksinkertaistui yhden kvartaalin aikana, mik\u00e4 teki siit\u00e4 “merkitt\u00e4vimm\u00e4n kiristysuhan” osavaltio- ja paikallishallinnoille kev\u00e4\u00e4ll\u00e4 2025. T\u00e4m\u00e4 viesti on suoraan sovellettavissa Pohjoismaihin, joissa kunnat ja sairaanhoitopiirit ovat vastaavalla tavalla resurssirajoitteisia ja houkuttelevia kohteita.<\/p>\n\n\n\n

Rapid7:n nelj\u00e4nnesvuosianalyysi asettaa Qilinin osaksi laajempaa rakennemuutosta. Yhti\u00f6n mukaan vuoden 2025 toinen nelj\u00e4nnes oli “nousun ja romahduksen” aikaa, jossa aktiivisten ryhmien m\u00e4\u00e4r\u00e4 laski mutta k\u00e4rkitoimijat vahvistuivat. Industrial Cyber puolestaan korosti Qilinin iskua kriittisille sektoreille RansomHubin sulkeutuessa. Yhteinen s\u00e4vel on, ett\u00e4 Qilin hy\u00f6tyi kilpailijoiden heikkoudesta ja tarjosi kumppaneille houkuttelevimman alustan juuri oikeaan aikaan.<\/p>\n\n\n\n

Historiallinen konteksti: kiristyshaittaohjelmien evoluutio<\/h2>\n\n\n\n

Qilin on osa pitk\u00e4\u00e4 kehityskaarta. Kiristyshaittaohjelmat alkoivat yksinkertaisina, yksitt\u00e4isin\u00e4 iskuina, joissa salaus oli ainoa painostuskeino. 2010-luvun lopulla nousi kaksoiskiristys, jossa tiedot varastettiin ennen salausta. 2020-luvun alussa RaaS-malli teollistui, ja viranomaisoperaatiot alkoivat iske\u00e4 takaisin. LockBitin ja muiden suurten br\u00e4ndien horjuminen vuosina 2024 ja 2025 osoitti, ett\u00e4 jopa hallitsevat operaatiot ovat haavoittuvia.<\/p>\n\n\n\n

Qilinin nousu kertoo, ett\u00e4 ala on oppinut sopeutumaan. Kun yksi alusta kaatuu, kumppanit ja ty\u00f6kalut siirtyv\u00e4t seuraavaan. T\u00e4m\u00e4 joustavuus tekee kiristyshaittaohjelmista pysyv\u00e4n ilmi\u00f6n, ei ohimenev\u00e4n muoti-ilmi\u00f6n. Rust-kielen omaksuminen, monialustaisuus ja palvelunestokyvyt ovat kaikki merkkej\u00e4 kypsymisest\u00e4. Qilin ei keksinyt n\u00e4it\u00e4 yksin, mutta se yhdisti ne tehokkaaksi paketiksi ja skaalasi sen enn\u00e4tyksellisesti.<\/p>\n\n\n\n

Historiallinen oppi on selv\u00e4: yhden ryhm\u00e4n kaataminen ei ratkaise ongelmaa. Synnovisin kaltaiset iskut osoittavat, ett\u00e4 vaikutukset ulottuvat tietotekniikan ulkopuolelle ihmishenkiin ja yhteiskunnan perustoimintoihin. Siksi puolustuksen on keskitytt\u00e4v\u00e4 rakenteelliseen kest\u00e4vyyteen yksitt\u00e4isten uhkien jahtaamisen sijaan. Varmuuskopiot, segmentointi ja harjoitellut toipumissuunnitelmat suojaavat riippumatta siit\u00e4, mik\u00e4 br\u00e4ndi on k\u00e4rjess\u00e4.<\/p>\n\n\n\n

Viisi ennustetta vuosille 2026 ja 2027<\/h2>\n\n\n\n

Qilinin nousu antaa pohjan muutamalle perustellulle ennusteelle. N\u00e4m\u00e4 eiv\u00e4t ole varmuuksia vaan suuntaviivoja, jotka seuraavat dokumentoiduista trendeist\u00e4.<\/p>\n\n\n\n