- 19,963
- 44
- 8 Ноя 2022
Европол превращает киберпреступность в реалити-шоу.
Европол объявил награду до 50 тысяч долларов за любую информацию, которая поможет установить личность или задержать ключевых операторов группировки Qilin, известных под псевдонимами «Haise» и «XOracle». Эти фигуранты подозреваются в организации масштабных кампаний с применением программ-вымогателей , направленных против критически важных объектов по всему миру и причинивших огромный финансовый ущерб. Сейчас расследованием занимаются международные правоохранительные структуры при координации Европола.
Специалисты считают, что ядро Qilin располагается в Восточной Европе: на хакерских форумах участники регулярно общаются на русском языке. Группировка впервые заявила о себе в августе 2022 года под названием Agenda и с тех пор успела поразить как минимум 678 организаций, что делает её одной из наиболее активных среди современных операторов программ-вымогателей.
Группировка вскоре провела ребрендинг и превратилась в полноценный сервис Ransomware-as-a-Service (RaaS). В этой модели партнёры вербовались через закрытые форумы, получая 80–85% выручки от выкупа, в то время как сама группа оставляла себе оставшуюся долю. Отличительной чертой Qilin стала техническая сложность: разработчики использовали Golang и Rust , что позволяло собирать универсальные исполняемые модули, легко адаптируемые для разных платформ и труднее обнаруживаемые традиционными средствами защиты.
В арсенале Qilin применяются методы двойного вымогательства: данные не только шифруются, но и похищаются с угрозой публикации. Жертвами атак становились медицинские учреждения, строительные и образовательные организации, государственные структуры и инфраструктурные компании более чем в 30 странах. Для первоначального проникновения злоумышленники часто эксплуатировали неправильно настроенные <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-доступы, например FortiGate , или использовали фишинговые письма . После этого применялись PowerShell-скрипты для компрометации VMware vCenter и ESXi, что позволяло массово разворачивать вымогательское ПО внутри виртуальных сред.
Особое внимание эксперты обращают на модификацию Qilin.B , написанную на Rust. Она использует мощные криптоалгоритмы AES-256-CTR в сочетании с RSA-4096-OAEP , имеет встроенные механизмы противодействия логированию и функции самоуничтожения для ухода от обнаружения. В отдельных случаях фиксировалась кража учётных данных, хранящихся в браузерах, что открывало путь к более глубокому проникновению в корпоративные сети.
Одним из самых громких эпизодов стала атака на поставщика медицинских услуг Synnovis в июне 2024 года, которая парализовала работу больниц NHS в Лондоне и привела к отмене сотен операций и приёмов пациентов. Среди других жертв значатся организации из Малайзии, США, Таиланда, Китая и ряда европейских стран, включая строительные фирмы, благотворительные фонды и государственные учреждения.
Европол объявил награду до 50 тысяч долларов за любую информацию, которая поможет установить личность или задержать ключевых операторов группировки Qilin, известных под псевдонимами «Haise» и «XOracle». Эти фигуранты подозреваются в организации масштабных кампаний с применением программ-вымогателей , направленных против критически важных объектов по всему миру и причинивших огромный финансовый ущерб. Сейчас расследованием занимаются международные правоохранительные структуры при координации Европола.
Специалисты считают, что ядро Qilin располагается в Восточной Европе: на хакерских форумах участники регулярно общаются на русском языке. Группировка впервые заявила о себе в августе 2022 года под названием Agenda и с тех пор успела поразить как минимум 678 организаций, что делает её одной из наиболее активных среди современных операторов программ-вымогателей.
Группировка вскоре провела ребрендинг и превратилась в полноценный сервис Ransomware-as-a-Service (RaaS). В этой модели партнёры вербовались через закрытые форумы, получая 80–85% выручки от выкупа, в то время как сама группа оставляла себе оставшуюся долю. Отличительной чертой Qilin стала техническая сложность: разработчики использовали Golang и Rust , что позволяло собирать универсальные исполняемые модули, легко адаптируемые для разных платформ и труднее обнаруживаемые традиционными средствами защиты.
В арсенале Qilin применяются методы двойного вымогательства: данные не только шифруются, но и похищаются с угрозой публикации. Жертвами атак становились медицинские учреждения, строительные и образовательные организации, государственные структуры и инфраструктурные компании более чем в 30 странах. Для первоначального проникновения злоумышленники часто эксплуатировали неправильно настроенные <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-доступы, например FortiGate , или использовали фишинговые письма . После этого применялись PowerShell-скрипты для компрометации VMware vCenter и ESXi, что позволяло массово разворачивать вымогательское ПО внутри виртуальных сред.
Особое внимание эксперты обращают на модификацию Qilin.B , написанную на Rust. Она использует мощные криптоалгоритмы AES-256-CTR в сочетании с RSA-4096-OAEP , имеет встроенные механизмы противодействия логированию и функции самоуничтожения для ухода от обнаружения. В отдельных случаях фиксировалась кража учётных данных, хранящихся в браузерах, что открывало путь к более глубокому проникновению в корпоративные сети.
Одним из самых громких эпизодов стала атака на поставщика медицинских услуг Synnovis в июне 2024 года, которая парализовала работу больниц NHS в Лондоне и привела к отмене сотен операций и приёмов пациентов. Среди других жертв значатся организации из Малайзии, США, Таиланда, Китая и ряда европейских стран, включая строительные фирмы, благотворительные фонды и государственные учреждения.
- Источник новости
- www.securitylab.ru
