10 Февраля 2025 08:42 10 Фев 2025 08:42 |

Поделиться

Шифровальная группировка Qilin, атаковавшая больницы, обновила свой арсенал

Не щадить никого

Исследователи компании Halcyon опубликовали анализ новой версии печально знаменитого шифровальщика Qilin (Agenda). Новая версия написана на Rust и явно представляет куда большую угрозу, чем оригинал.

Новая версия Qilin.B написана на языке Rust и использует новый метод шифрования: AES-256-CTR, с использованием набора инструкций AES-NI, при условии, что процессор атакуемой системы их поддерживает. Поддержка таких инструкций реализована в большинстве современных процессоров Intel и AMD. В случае с шифровальщиком они позволяют существенно ускорить процесс.

Для более старых и менее производительных машин в шифровальщик по-прежнему встроен алгоритм ChaCha20, так что шифрование произойдет в любом случае.

Qilin.B использует также алгоритм RSA-4096 и оптимальное асимметричное шифрование с дополнением для защиты ключа шифрования. Это делает расшифровку без знания секретного ключа или seed-значений практически невозможной. Проникнув в систему, Qilin первым делом добавляет ключ автозапуска в реестр Windows для обеспечения постоянства присутствия. Кроме того, он останавливает ряд процессов, чтобы «освободить» для шифрования критические данные, и отключает средства защиты. В частности, устраняются процессы Veeam, Acronis и средства Windows, отвечающие за резервное копирование и восстановление данных; останавливаются процессы, связанные с базами данных SQL, средствами безопасности Sophos и ERP-системами SAP. Существующие теневые копии шифровальщик уничтожает. Кроме того, стирается журнал событий Windows. По окончании шифрования исполняемый файл самого шифровальщика самоликвидируется.

Qilin.B шифрует не только локальные, но и сетевые каталоги. Для максимального охвата он создает в системном реестре инструкцию на общий доступ к сетевым ресурсам между процессами с разным уровнем привилегий. В каждый сбрасывается требование выкупа.

Шифровальщиком дело не ограничивается

Год назад эксперты компании Sophos отметили, что операторы Qilin используют самописный инфостилер (вредонос, крадущий данные) для сбора реквизитов доступа из браузеров Google Chrome, и стремятся скомпрометировать всю локальную сеть для возможных повторных атак – даже если ресурсы были очищены от вредоносов.

У группировки также есть Linux-версия вредоноса, которая нацелена на системы VMware ESXi. Эксперты Halcyon, впрочем, описывают только Windows-вариант.

«Группировка Qilin широко известна среди специалистов по информационной безопасности, да и не только среди них – не каждая киберкриминальная группа «удостаивается» целой статьи в Wikipedia, – говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. – Слава у них, правда, самая дурная: в выборе целей они неразборчивы или индифферентны».

В прошлом, как отмечает издание Bleeping Computer, вредоносы семейства Qilin использовались в крайне деструктивных атаках против больниц в Великобритании, австралийских судов и китайского автопроизводителя Yanfeng. Хакеры, как правило, еще и крадут данные, и требуют выкуп и за них.

Родным языком операторов Qilin является русский.

Роман Георгиев

Поделиться

Подписаться на новости Короткая ссылка