Qilin.B Ransomware: новая эра угрожающей сложности
Table of Contents
Что такое вирус-вымогатель Qilin.B?
Qilin.B ransomware, усовершенствованная версия Qilin Ransomware (также известного как Agenda ), выделяется как одна из последних угроз, появившихся в ландшафте программ-вымогателей. Он находится под пристальным вниманием экспертов по кибербезопасности, которые выявили множество усовершенствований в этой новой разновидности, что делает его особенно сложным для обнаружения и противодействия. Первоначально написанный на Golang и позже переведенный на Rust, Qilin эволюционировал не только для улучшения своих стратегий шифрования, но и для оптимизации своих методов уклонения, закрепив свою репутацию как высокоразвитой и неуловимой угрозы.
Qilin.B тщательно разработан, чтобы избежать обнаружения и работать скрытно в зараженных системах. Теперь программа-вымогатель использует надежные методы шифрования, такие как AES-256-CTR (используется в системах, поддерживающих возможности AESNI) и шифрование ChaCha20 для тех, у кого нет этой поддержки. Кроме того, она использует RSA-4096 с дополнением OAEP для защиты ключей шифрования, что делает расшифровку практически невозможной без закрытого ключа злоумышленника. Эти передовые механизмы делают Qilin.B особенно мощной и устойчивой формой программы-вымогателя, которая обладает значительной властью над пораженными системами.
Цели программ-вымогателей
По сути, программы-вымогатели, такие как Qilin.B, предназначены для блокировки или шифрования файлов на компьютере жертвы, удерживая их в заложниках до тех пор, пока злоумышленникам не будет выплачен выкуп. Этот способ атаки, часто называемый «двойным вымогательством», включает в себя угрозы не только сохранить файлы жертвы заблокированными, но и раскрыть конфиденциальные данные, если выкуп не будет выплачен. Злоумышленники обычно устанавливают крайний срок оплаты, после которого сумма выкупа может увеличиться, или данные могут быть удалены навсегда.
Qilin.B следует этому плану с его передовым шифрованием и способностью красть учетные данные и конфиденциальную информацию из систем, увеличивая его влияние на жертву. Поскольку ransomware-as-a-service (RaaS) становится все более популярным, Qilin.B также становится доступным для партнеров, которые мотивированы на максимальные сборы выкупа, оставляя себе до 85% от каждого платежа. Сообщается, что партнеры группы Qilin установили связи с другими хакерами, что подчеркивает совместный и прибыльный характер этой киберпреступной операции.
Как Qilin.B затмевает своих предшественников
С момента своего первого обнаружения в 2022 году вирус-вымогатель Qilin претерпел несколько итераций, каждая из которых основывалась на предыдущих сильных сторонах и включала новые возможности. В этом недавнем варианте Qilin.B злоумышленники усилили методы шифрования и операционные приемы, которые значительно усложняют обнаружение и нейтрализацию. Qilin.B нарушает процесс восстановления, агрессивно атакуя резервные копии и виртуальные среды, даже завершая процессы, связанные с такими службами безопасности, как SQL, Veeam и SAP. Это не только делает восстановление файлов сложной задачей, но и заставляет организации полагаться на свои резервные копии в критической ситуации.
Чтобы усложнить обнаружение, Qilin.B разработал механизмы для завершения работы антивирусных программ и удаления системных журналов, эффективно заметая следы. Такая тактика позволяет ему оставаться незамеченным стандартными средствами безопасности, что значительно затрудняет для групп по кибербезопасности определение его присутствия. Такая сложность сделала Qilin.B приоритетным направлением для таких фирм по кибербезопасности, как Halcyon, которые активно отслеживают эту угрозу, чтобы понять ее поведение и слабые стороны.
Последствия для организаций и их данных
Растущая сложность программ-вымогателей, таких как Qilin.B, имеет серьезные последствия для организаций, особенно в таких чувствительных секторах, как здравоохранение, где недавно наблюдался всплеск атак программ-вымогателей. С высокими расходами на простой некоторые учреждения могут столкнуться с расходами до 900 000 долларов в день, что делает их уязвимыми для серьезного финансового ущерба в дополнение к потере данных. В частности, организации здравоохранения пострадали от атак, связанных с Qilin, что раскрыло потенциал программ-вымогателей для парализующих основные услуги.
Финансовые потери не ограничиваются только простоем. Например, в недавних случаях поставщики медицинских услуг сообщили о средних выплатах выкупа свыше 4,4 млн долларов США, а медианные выплаты составили около 1,5 млн долларов США. Огромное финансовое напряжение от этих выплат в сочетании с потенциальной потерей записей пациентов и других критически важных данных делает Qilin.B серьезной проблемой для сообщества кибербезопасности. Организации не только сталкиваются с ущербом репутации, но и рискуют столкнуться с масштабными сбоями в работе.
Роль Qilin.B на растущем рынке программ-вымогателей
Существование Qilin.B и его растущее использование в качестве модели RaaS свидетельствует об адаптивности и охвате современного вымогателя. Позволяя филиалам сдавать в аренду свою инфраструктуру и методы шифрования, операция Qilin.B гарантирует, что ее влияние может распространяться на отрасли и географические границы. Тот факт, что филиалы могут зарабатывать до 85% от выкупных платежей, подчеркивает прибыльную природу RaaS и способствует постоянному притоку новых филиалов в экосистему киберпреступности.
В более широком смысле рост Qilin.B представляет собой тенденцию на рынке киберпреступности, где штаммы программ-вымогателей разрабатываются с гибкостью и сложностью, легко адаптируясь к новым целям и средам. С такой надежной защитой и тактикой уклонения Qilin.B становится все труднее противодействовать, что требует более продвинутых и совместных усилий от команд по кибербезопасности по всему миру.
Как организации могут защититься от Qilin.B
Хотя Qilin.B представляет собой серьезную проблему, организации могут предпринять упреждающие шаги для укрепления своей кибербезопасности. Регулярное резервное копирование, системы обнаружения и реагирования на конечные точки, а также обучение сотрудников тактике фишинга являются важнейшими мерами защиты от этого типа программ-вымогателей. Поскольку атаки программ-вымогателей продолжают развиваться, организации должны сохранять бдительность, обновлять программное обеспечение и полагаться на многоуровневые стратегии безопасности, которые предвосхищают и адаптируются к новым угрозам, таким как Qilin.B.
Вирус-вымогатель Qilin.B наглядно демонстрирует опасности, которые представляют сложные, эволюционирующие виды программ-вымогателей, и подчеркивает необходимость для организаций оставаться информированными и готовыми.
