Group-IB’nin yeni bulgularına göre, Qilin hizmet olarak fidye yazılımı (RaaS) planıyla iliÅŸkili fidye yazılımı baÄŸlı kuruluÅŸları fidye ödemelerinin %80 ila %85’ini kazanıyor.
Siber güvenlik firması, Mart 2023’te gruba sızabildiÄŸini ve çevrimiçi takma adı Haise olan bir Qilin iÅŸe alım görevlisiyle özel bir görüşmenin ardından baÄŸlı kuruluÅŸların ödeme yapısı ve RaaS programının iç iÅŸleyiÅŸi hakkındaki ayrıntıları ortaya çıkardığını söyledi.
Singapur merkezli ÅŸirket yeni bir raporda, “ÇoÄŸu Qilin fidye yazılımı saldırısı, etkilerini en üst düzeye çıkarmak için her kurban için özelleÅŸtirildi.” Dedi. “Bunu yapmak için tehdit aktörleri, ÅŸifrelenmiÅŸ dosyaların dosya adı uzantılarını deÄŸiÅŸtirmek ve belirli iÅŸlem ve hizmetleri sonlandırmak gibi taktiklerden yararlanabilir.”
Agenda olarak da bilinen Qilin, Aralık 2022’de Rust’a geçmeden önce Go tabanlı bir fidye yazılımı baÅŸlatarak AÄŸustos 2022’de Trend Micro tarafından belgelendi.
Rust’ın benimsenmesi, yalnızca kaçırma algılama yetenekleri nedeniyle deÄŸil, aynı zamanda tehdit aktörlerinin Windows, Linux ve VMware ESXi sunucularını hedeflemesine izin verdiÄŸi için de önemlidir.
Grup tarafından düzenlenen saldırılar, ilk erişimi elde etmek ve hassas verileri şifrelemek için bir araç olarak kötü amaçlı bağlantılar içeren kimlik avı e-postalarını kullanır, ancak bunu çifte gasp modelinin bir parçası olarak sızdırmadan önce yapmaz.
Temmuz 2022 ile Mayıs 2023 arasında Qilin’in karanlık aÄŸdaki veri sızıntısı portalında 12 farklı ÅŸirketten alınan veriler yayınlandı.
Ağırlıklı olarak kritik altyapı, eÄŸitim ve saÄŸlık sektörlerini kapsayan kurbanlar Avustralya, Brezilya, Kanada, Kolombiya, Fransa, Japonya, Hollanda, Sırbistan, BirleÅŸik Krallık ve ABD’de bulunuyor.
Group-IB, Qilin aktörlerinin, ilgili hedefleri belirlemek ve saldırıları düzenlemek için işe alınan bağlı kuruluşlara, operasyonlarının çeşitli bölümlerini etkin bir şekilde denetlemeleri için bir idari panel sağladığını söyledi.
Güvenlik araÅŸtırmacısı Nikolay Kichatov, “Qilin fidye yazılımı grubunun, baÄŸlı kuruluÅŸ ağını yönetmek ve koordine etmek için Hedefler, Bloglar, Doldurucular, Haberler, Ödemeler ve SSS gibi bölümlere ayrılmış bir baÄŸlı kuruluÅŸ paneli vardır” dedi.
- hedefler – DiÄŸerlerinin yanı sıra fidye notlarını, dosyaları, dizinleri ve atlanacak uzantıları, ÅŸifrelenecek uzantıları, sonlandırılacak iÅŸlemleri ve ÅŸifreleme modunu yapılandırmak için bir bölüm
- Bloglar – BaÄŸlı kuruluÅŸların, fidyeyi ödemeyen saldırıya uÄŸrayan ÅŸirketler hakkında bilgi içeren blog gönderileri oluÅŸturması için bir bölüm
- doldurucular – Tehdit aktörlerinin ekibin diÄŸer üyeleri için hesap oluÅŸturması ve ayrıcalıklarını yönetmesi için bir bölüm
- Haberler – Fidye yazılımı ortaklıklarıyla ilgili güncellemeleri yayınlamak için bir bölüm (ÅŸu anda boÅŸ)
- ödemeler – Ä°ÅŸlem ayrıntılarını, baÄŸlı kuruluÅŸ cüzdan bakiyelerini ve yasa dışı gelirleri çekme seçeneklerini içeren bir bölüm
- SSS – Fidye yazılımını kullanma adımlarını ayrıntılarıyla anlatan destek ve belge bilgilerini içeren bir bölüm
Kichatov, “Qilin fidye yazılımı, kritik sektör ÅŸirketlerini hedef almakla ün kazanmış olsa da, tüm sektörlerdeki kuruluÅŸlar için bir tehdit oluÅŸturuyor” dedi.
“Ayrıca, fidye yazılımı operatörünün ortaklık programı, ağına yeni üyeler eklemekle kalmıyor, aynı zamanda onları yükseltilmiÅŸ araçlar, teknikler ve hatta hizmet sunumu ile silah haline getiriyor.”