Ransomware Qilin.B: una nuova era di minaccia sofisticata
Table of Contents
Che cos'è il ransomware Qilin.B?
Il ransomware Qilin.B, un'evoluzione avanzata del ransomware Qilin (noto anche come Agenda ), si distingue come una delle ultime minacce emerse nel panorama dei ransomware. È stato sotto stretta osservazione da parte degli esperti di sicurezza informatica che hanno identificato una serie di miglioramenti in questa nuova variante, rendendola notevolmente difficile da rilevare e contrastare. Originariamente scritto in Golang e successivamente convertito in Rust, Qilin si è evoluto non solo per migliorare le sue strategie di crittografia, ma anche per ottimizzare le sue tecniche evasive, consolidando la sua reputazione di minaccia altamente avanzata e sfuggente.
Qilin.B è progettato meticolosamente per evitare di essere rilevato e operare furtivamente all'interno di sistemi infetti. Il ransomware ora incorpora metodi di crittografia robusti come AES-256-CTR (utilizzato nei sistemi che supportano le capacità AESNI) e la crittografia ChaCha20 per quelli senza questo supporto. Inoltre, utilizza RSA-4096 con padding OAEP per proteggere le chiavi di crittografia, rendendo la decifratura quasi impossibile senza la chiave privata dell'attaccante. Questi meccanismi avanzati rendono Qilin.B una forma di ransomware particolarmente potente e resiliente, che detiene un potere considerevole sui sistemi interessati.
Gli obiettivi dei programmi ransomware
In sostanza, i programmi ransomware come Qilin.B sono progettati per bloccare o crittografare i file sul computer della vittima, tenendoli in ostaggio finché non viene pagato un riscatto agli aggressori. Questa modalità di attacco, spesso definita "doppia estorsione", comporta minacce non solo di mantenere bloccati i file della vittima, ma anche di far trapelare dati sensibili se il riscatto non viene pagato. Gli aggressori in genere stabiliscono una scadenza per il pagamento, dopo la quale l'importo del riscatto potrebbe aumentare oppure i dati potrebbero essere eliminati definitivamente.
Qilin.B segue questo schema con la sua crittografia avanzata e la capacità di rubare credenziali e informazioni sensibili dai sistemi, aumentando la sua influenza sulla vittima. Con il ransomware-as-a-service (RaaS) che sta diventando sempre più popolare, Qilin.B è anche reso disponibile agli affiliati che sono motivati a massimizzare le riscossioni del riscatto, trattenendo fino all'85% di ogni pagamento. Si dice che gli affiliati del gruppo Qilin abbiano stabilito connessioni con altri hacker, sottolineando la natura collaborativa e redditizia di questa operazione di criminalità informatica.
Come Qilin.B eclissa i suoi predecessori
Il ransomware Qilin ha subito diverse iterazioni da quando è stato identificato per la prima volta nel 2022, con ogni versione che si basa sui punti di forza precedenti e incorpora nuove capacità. In questa recente variante di Qilin.B, gli aggressori hanno intensificato i metodi di crittografia e le tecniche operative che rendono il rilevamento e la mitigazione sempre più difficili. Qilin.B interrompe il processo di ripristino prendendo di mira in modo aggressivo i backup e gli ambienti virtuali, persino terminando i processi collegati ai servizi di sicurezza come SQL, Veeam e SAP. Ciò non solo rende il ripristino dei file un compito arduo, ma lascia anche le organizzazioni dipendenti dai loro backup in una situazione critica.
Per complicare il rilevamento, Qilin.B ha sviluppato meccanismi per terminare i programmi antivirus ed eliminare i log di sistema, coprendone efficacemente le tracce. Queste tattiche gli consentono di non essere rilevato dagli strumenti di sicurezza standard, rendendo significativamente più difficile per i team di sicurezza informatica individuarne la presenza. Tale sofisticatezza ha reso Qilin.B un obiettivo prioritario per le aziende di sicurezza informatica come Halcyon, che monitora attivamente questa minaccia per comprenderne i comportamenti e le debolezze.
Implicazioni per le organizzazioni e i loro dati
La crescente sofisticazione di ransomware come Qilin.B ha gravi implicazioni per le organizzazioni, in particolare quelle in settori sensibili come l'assistenza sanitaria, che hanno recentemente assistito a un'impennata di attacchi ransomware. Con costi elevati per i tempi di inattività, alcune istituzioni potrebbero dover affrontare spese fino a $ 900.000 al giorno, rendendole vulnerabili a gravi danni finanziari oltre alla perdita di dati. Le organizzazioni sanitarie, in particolare, hanno subito attacchi correlati a Qilin, rivelando il potenziale del ransomware di paralizzare i servizi essenziali.
Il costo finanziario non si limita solo ai tempi di inattività. Ad esempio, in casi recenti, i fornitori di servizi sanitari hanno segnalato pagamenti di riscatto medi superiori a $ 4,4 milioni, con pagamenti mediani intorno a $ 1,5 milioni. L'enorme sforzo finanziario di questi pagamenti, combinato con la potenziale perdita di cartelle cliniche dei pazienti e altri dati critici, rende Qilin.B una grave preoccupazione per la comunità della sicurezza informatica. Le organizzazioni non solo affrontano danni alla reputazione, ma rischiano anche interruzioni operative su larga scala.
Il ruolo di Qilin.B nel crescente mercato dei ransomware
L'esistenza di Qilin.B e il suo crescente utilizzo come modello RaaS segnalano l'adattabilità e la portata del ransomware moderno. Consentendo agli affiliati di affittare la sua infrastruttura e i suoi metodi di crittografia, l'operazione Qilin.B assicura che il suo impatto possa estendersi oltre i settori e i confini geografici. Il fatto che gli affiliati possano guadagnare fino all'85% dei pagamenti del riscatto evidenzia la natura redditizia di RaaS e contribuisce al costante afflusso di nuovi affiliati nell'ecosistema del crimine informatico.
In senso più ampio, l'ascesa di Qilin.B rappresenta una tendenza nel mercato della criminalità informatica in cui i ceppi di ransomware sono progettati con flessibilità e sofisticatezza, adattandosi facilmente a nuovi obiettivi e ambienti. Con difese e tattiche di evasione così robuste, Qilin.B è sempre più difficile da contrastare, richiedendo sforzi più avanzati e collaborativi da parte dei team di sicurezza informatica in tutto il mondo.
Come le organizzazioni possono proteggersi da Qilin.B
Sebbene Qilin.B rappresenti una sfida formidabile, le organizzazioni possono adottare misure proattive per rafforzare la propria posizione di sicurezza informatica. Backup regolari, sistemi di rilevamento e risposta degli endpoint e formazione dei dipendenti sulle tattiche di phishing sono difese essenziali contro questo tipo di ransomware. Poiché gli attacchi ransomware continuano a evolversi, le organizzazioni devono rimanere vigili, mantenere il software aggiornato e fare affidamento su strategie di sicurezza multistrato che anticipano e si adattano alle minacce emergenti come Qilin.B.
Il ransomware Qilin.B esemplifica i pericoli posti dalle varietà di ransomware sofisticate e in continua evoluzione e sottolinea la necessità che le organizzazioni rimangano informate e preparate.
