Известная сингапурская (бггггг) инфосек компания Group-IB пред | S.E.Book

Известная сингапурская (бггггг) инфосек компания Group-IB представила подробную информацию о Qilin (она же Agenda).

Банда вымогателей впервые была обнаружена в августе 2022 года и нацелена на компании в критических секторах с помощью ransomware, написанной на кроссплатформенных языках Rust и Golang по аналогии с не менее известными штаммами Hive, Blackcat, Luna и др.

Автор материала, коренной сингапурец Николай Кичатов, подытожил результаты анализа добытых в марте 2023 2023 года артефактов, когда команде Group-IB удалось проникнуть и детально изучить инфраструктуру Qilin.

Qilin — это Ransomware-as-a-Service, которая теперь использует программу-вымогатель на основе Rust для нападения на своих жертв, для каждой из которой атака реализуется индивидуально для максимализации воздействия.

Rust обеспечивает при этом уклонение и сложность для расшифровки, упрощает настройку вредоносного ПО для различных ОС.

Qilin имеет возможность генерировать образцы как для версий Windows, так и для ESXi.

Привлекаемым операторам предоставляется административная панель, которая позволяет более эффективного управлять атаками.

Она включает такие разделы, как «цели», «блоги», «стафферы», «новости», «платежи» и «FAQ», для организации управления и координации своей партнерской сети.

За свои труды они получают 80% от платежа, если его сумма составляет менее 3 миллионов долларов и 85% - если более.

Партнерка Qilin продвигается в даркнете, что позволяет владельцам действовать достаточно активно: в мае 2023 года DLS Qilin содержал данные на 12 компаний из Австралии, стран Южной и Северной Америки, Европы и Японии.

Нацеливание осуществляется с помощью фишинговых писем с вредоносными ссылками для закрепления в сети и эксфильтрации конфиденциальных данных.

Как только Qilin завершает первоначальный доступ, они обычно перемещаются по инфраструктуре жертвы в поисках важных данных для шифрования, в процессе которого оставляется записка с требованием выкупа в каждом зараженном каталоге.

Как отмечают исследователи, несмотря на то, что Qilin получили известность благодаря своим атакам на компании из критически важных секторов, они представляют угрозу для организаций всех вертикалей.

Партнерская программа Qilin при этом не только активно рекрутирует новых участников в свою сеть, но и вооружает их модернизированными инструментами, делится передовыми методами и оказывает всестороннюю поддержку.