Siber güvenlik araştırmacıları, Qilin fidye yazılımının, tespit edilmekten kaçınmak için daha fazla karmaşıklık ve taktikler içeren gelişmiş bir sürümünü keşfetti.
Yeni varyant, Qilin.B takma adı altında siber güvenlik firması Halcyon tarafından takip ediliyor.
Halcyon Araştırma Ekibi, The Hacker News ile paylaşılan bir raporda şunları söyledi: “Qilin.B artık AESNI özelliklerine sahip sistemler için AES-256-CTR şifrelemesini desteklerken, bu desteğin bulunmadığı sistemler için Chacha20’yi kullanmaya devam ediyor.”
“Ek olarak, OAEP dolgulu RSA-4096, şifreleme anahtarlarını korumak için kullanılıyor ve saldırganın özel anahtarı veya yakalanan çekirdek değerleri olmadan dosya şifresinin çözülmesini imkansız hale getiriyor.”
Agenda olarak da bilinen Qilin, siber güvenlik topluluğunun dikkatini ilk kez Temmuz/Ağustos 2022’de çekti ve ilk sürümleri Rust’a geçmeden önce Golang’da yazıldı.
Group-IB’nin Mayıs 2023 tarihli bir raporu, hizmet olarak fidye yazılımı (RaaS) planının, gruba sızdıktan ve bir kişiyle sohbet etmeyi başardıktan sonra bağlı şirketlerinin her fidye ödemesinin %80 ila %85’ini almasına izin verdiğini ortaya çıkardı. Qilin işe alım uzmanı.
Fidye yazılımı operasyonuyla bağlantılı son saldırılar, Google Chrome tarayıcılarında küçük bir dizi tehlikeye atılmış uç noktada depolanan kimlik bilgilerinin çalınmasına neden oldu ve bu da tipik çifte gasp saldırılarından bir tür sapmanın sinyalini verdi.
Halcyon tarafından analiz edilen Qilin.B örnekleri, ek şifreleme yetenekleri ve geliştirilmiş operasyonel taktiklerle daha eski yinelemelere dayandığını gösteriyor.
Bu, şifreleme için AES-256-CTR veya Chacha20’nin kullanılmasının yanı sıra, güvenlik araçlarıyla ilişkili hizmetleri sonlandırarak, Windows Olay Günlüklerini sürekli olarak temizleyerek ve kendisini silerek analiz ve algılamaya direnecek adımlar atmayı da içerir.
Ayrıca Veeam, SQL ve SAP gibi yedekleme ve sanallaştırma hizmetleriyle bağlantılı süreçleri sonlandıracak ve birim gölge kopyalarını silecek, dolayısıyla kurtarma çalışmalarını karmaşıklaştıracak özellikler de içerir.
Halcyon, “Qilin.B’nin gelişmiş şifreleme mekanizmaları, etkili savunmadan kaçınma taktikleri ve yedekleme sistemlerinin sürekli kesintiye uğraması, onu özellikle tehlikeli bir fidye yazılımı çeşidi olarak işaret ediyor.” dedi.
Fidye yazılımının oluşturduğu tehdidin zararlı ve kalıcı doğası, fidye yazılımı gruplarının gösterdiği devam eden evrimsel taktiklerle kanıtlanmaktadır.
Bunun bir örneği, yeni ortaya çıkan Embargo fidye yazılımını dağıtmak için kullanılan, ancak kendi Savunmasız Sürücünüzü Getirin (BYOVD) kullanılarak ana bilgisayara yüklenen uç nokta algılama ve yanıt (EDR) çözümlerinin sonlandırılmasından önce kullanılan yeni bir Rust tabanlı araç setinin keşfiyle örneklendirilmiştir. teknik.
Hem açık kaynaklı s4killer aracına benzerliği nedeniyle ESET tarafından MS4Killer kod adı verilen EDR katili hem de fidye yazılımı, MDeployer adı verilen kötü amaçlı bir yükleyici aracılığıyla yürütülüyor.
Araştırmacılar Jan Holman ve Tomáš Zvara, “MDeployer, Embargo’nun güvenliği ihlal edilmiş ağdaki makinelere dağıtmaya çalıştığı ana kötü amaçlı yükleyicidir; saldırının geri kalanını kolaylaştırır, fidye yazılımının yürütülmesine ve dosya şifrelemesine neden olur” dedi. “MS4Killer’ın süresiz olarak çalışması bekleniyor.”
“Hem MDeployer hem de MS4Killer Rust’ta yazıldı. Aynı şey fidye yazılımı yükü için de geçerli, bu da Rust’un grup geliştiricileri için tercih edilen dil olduğunu gösteriyor.”
Microsoft tarafından paylaşılan verilere göre, bu mali yılda 389 ABD sağlık kurumu fidye yazılımı saldırılarına maruz kaldı ve bu saldırıların kesinti nedeniyle günlük 900.000 dolara kadar maliyeti oldu. Hastanelere saldırmasıyla bilinen fidye yazılımı çetelerinden bazıları arasında Lace Tempest, Sangria Tempest, Cadenza Tempest ve Vanilla Tempest yer alıyor.
Teknoloji devi, “Fidyeyi ödediğini kabul eden ve ödenen fidyeyi açıklayan 99 sağlık kuruluşundan ortalama ödeme 1,5 milyon dolar, ortalama ödeme ise 4,4 milyon dolardı” dedi.